请教高手们：linux防火墙能不能允许或者禁止某个程序访问网络？

steeven

看了N多防火墙,都是基于IP规则的，windows下面的防火墙很多都有基于程序信任的。就是这个程序开了什么端口，都允许或者禁止。这样比如bt，开发工具等一次允许就不用不停的设置。

linux能做到吗？

springwind426

也许通过变通方法可以做到：

比如定时查看都有哪些程序打开了哪些端口，然后在防火墙上关闭相应的端口就可以了。

steeven

这么常用的功能还要diy? faint

orphen

windows和Linux都是人做的。windows能做到的Linux也能做到。
只不过目前Linux下常用的防火墙iptables不是采用这种方式进行的。

Thruth

SUSE 的防火墙是基于服务的，添加一个服务名字到 Yast 就行
不过要是不大常见的服务，那就要自己设置了。
Windows 程序信任就是。。。。。
用户怎么知道信任的就是好程序？病毒程序起个名字叫 IE 用户说不定就80%想都不想就确认了。

aleng

windows和Linux都是人做的。windows能做到的Linux也能做到。
只不过目前Linux下常用的防火墙iptables不是采用这种方式进行的。
---
纯属废话，等于没说，不道就别回
楼主：
linux的限制功能是简陋的，各方面。这两年好像是什么美国联邦安全局弄出了个selinux
增强了很多限制，文件，文件系统，断口，进程，程序，
但是不完善或很麻烦或大多数发行版不包含或学习资料少。再等几年8

晨想

Post by aleng
windows和Linux都是人做的。windows能做到的Linux也能做到。
只不过目前Linux下常用的防火墙iptables不是采用这种方式进行的。
---
等于没说，不道就别回

你还不是一样回复了么？。呵呵。

Post by aleng
  楼主：
linux的限制功能是简陋的，各方面。这两年好像是什么美国联邦安全局弄出了个selinux
增强了很多限制，文件，文件系统，断口，进程，程序，
但是不完善或很麻烦或大多数发行版不包含或学习资料少。再等几年8

不敢苟同。至于Linux的限制功能是否简陋，要看和什么比，我觉得不比win的差。呵呵。至于selinux的不包括以及不完整，这些都是在不断改进中的，Win连这些都没有，还有什么好说的呢。。

aleng

4楼是你的马甲么？

哪天我也弄几个马甲上来。侃侃你。

别以为换了马甲我就不认识，呵呵，

关于 linux和win ，我觉得还是win这个平台好很多，说出我的想法和你探讨一下。

win和linux程序，都是c++代码产生的2进制代码。都是x86代码。
这些代码理论上就应该跨win linux平台，但现在谁也没实现，这个先不说。
以后64位了，也要能兼容和继承现在的代码才好，因为 “旧物” 里面还有很多有用的东西，这个也先不说。
win的32位2进制可执行程序，基本能在任何win下运行。
linux的32位2进制可执行程序，却基本不能在任何linux下运行。这个挺垃圾。

话再说回来，为win增加 “允许或者禁止某个程序访问网络 的防火墙”功能，一安装程序就行了。
linux下及使有这样的防火墙。要安装上应该也很困难，总要在不同发行版linux上重新编译，解决依赖性，升级。

总结，发行版之间的不兼容标准不统一，和以源代码发行软件的理念和习惯 导致了linux下软件的共享，分发困难，很多要依赖发行版提供商。而发行版提供商，就像一个老牛，或者乌龟。他们每个都拖着一个沉重的负担所以走的极慢。这个负担就是互不兼容的二进制软件仓库，但软件仓里的软件脸孔却都差不多。这个仓库越来越大，每当第三方软件更新，他们就要跟着更新。他们的精力虚耗了，
其结果就是，linux程序进化速度被拖慢，传播难度大，当然也有好处，蠕虫，刘忙软件等也会少些。

  当然我并无意贬linux，这是我深入学习一段时间后体会到的算是linux真谛8

wcpeter

楼上北京人呀……
说话挺冲嘛……嘿嘿……

晨想

Post by aleng
4楼是你的马甲么？

哪天我也弄几个马甲上来。侃侃你。

别以为换了马甲我就不认识，呵呵，

只有用MJ的人，才会去怀疑别人是否用MJ。：）。

Post by aleng

关于 linux和win ，我觉得还是win这个平台好很多，说出我的想法和你探讨一下。

win和linux程序，都是c++代码产生的2进制代码。都是x86代码。
这些代码理论上就应该跨win linux平台，但现在谁也没实现，这个先不说。
以后64位了，也要能兼容和继承现在的代码才好，因为 “旧物” 里面还有很多有用的东西，这个也先不说。
win的32位2进制可执行程序，基本能在任何win下运行。
linux的32位2进制可执行程序，却基本不能在任何linux下运行。这个挺垃圾。

任何Linux 这个表达就是一个错误。只能说，在某个 发行版 或者 版本组合中，某个软件出现错误。这个问题我不知道如何解决，我不是什么高手。其他原因如文件的位置不一致等，都不是什么大问题，解决起来也是很容易的。
兄弟说的 ”win的32位2进制可执行程序，基本能在任何win下运行。” 有点夸大 。在 WinXP 下能运行的程序，不代表就能在 Win2000 下运行。诸如 Visual XX/.net 的库不兼容之类的问题我以前是经常碰到的。

话再说回来，为win增加 “允许或者禁止某个程序访问网络 的防火墙”功能，一安装程序就行了。
linux下及使有这样的防火墙。要安装上应该也很困难，总要在不同发行版linux上重新编译，解决依赖性，升级。

这个，是Linux/UNIX 等的特点，我不对其进行评论。Linux 下这类软件的安装是很容易的，包括编译等（当然，我用惯LFS，也许我说的并不代表大多数人的想法），主要是我不知道什么软件能做到，毕竟我接触Linux不是很久，或者本身这类软件也不多。
不过，Linux 的防火墙是以端口为基础的，一旦习惯也是很方便的。Layer 7 的补丁也出现了，以服务来作过滤条件应该是Linux上首创的，不比Win 的那些防火墙差。而且一旦Win 做了服务器而不是终端的话，还如何发挥这个 根据程序 来指定防火墙 的优势呢？

总结，发行版之间的不兼容标准不统一，和以源代码发行软件的理念和习惯 导致了linux下软件的共享，分发困难，很多要依赖发行版提供商。而发行版提供商，就像一个老牛，或者乌龟。他们每个都拖着一个沉重的负担所以走的极慢。这个负担就是互不兼容的二进制软件仓库，但软件仓里的软件脸孔却都差不多。这个仓库越来越大，每当第三方软件更新，他们就要跟着更新。他们的精力虚耗了，
其结果就是，linux程序进化速度被拖慢，传播难度大，当然也有好处，蠕虫，刘忙软件等也会少些。

  当然我并无意贬linux，这是我深入学习一段时间后体会到的算是linux真谛8

恩，有好必有坏。呵呵，共同发展吧。。。二进制其实也不错，就是要统一编译才好。不然就容易出现兼容问题，这个也是没办法的。。