请教高手们：linux防火墙能不能允许或者禁止某个程序访问网络？

aleng

如果把各种软件比作车，那就有了各种车
如果把操作系统比作路，那linux就是农村的坑坑洼洼的路，过啥车都费劲。win就是城市里的柏油路+立交桥。

linux下安装软件困难，对于lamp实际应用，我推荐用 wamp 。好像是winamp呀，hh

orphen

首先说明一下，我是沈阳的，更不是那个“终极幻想”的马甲。
NND，我长得像马甲么？

Linux与Windows的不同就是Linux是自由的，而且他仍然处于发展阶段。
在Windows中，你只能做MS允许你做的；但是Linux不同，Linux是许许多多的热心开源事业的人们共同努力的结果。
当然，Linux现在的兼容性还是不如Windows，但这也是人们自由选择的结果，多样化并不是什么坏处。
Linux Standard Base (LSB) 3.0已经发布了，这即是Linux迈向统一的道路。

很多人总是说Linux的易用性不如Windows。但是，什么才是易用性？无非就是习惯问题。你从小就被灌输了Windows，被限制在Windows中，习惯了Windows的方式，当然会觉得Linux不如Windows易用。说句玩笑话——“奴性”。

我并不排斥将Linux定位于计算机高手/电脑爱好者的玩具，至少目前如此，而且现在政府/社会并没有强迫你使用Linux，所以大可不必强迫自己使用Linux，又找出Linux的一大堆“不好用”来发牢骚。愿意使用Windows就用呗，也没什么不好的。

对于aleng这样的纯粹使用者来说，你觉得哪个好用就用哪个。

Post by aleng
linux的限制功能是简陋的，各方面。这两年好像是什么美国联邦安全局弄出了个selinux
增强了很多限制，文件，文件系统，断口，进程，程序，
但是不完善或很麻烦或大多数发行版不包含或学习资料少。再等几年8

Post by aleng
关于 linux和win ，我觉得还是win这个平台好很多，说出我的想法和你探讨一下。

win和linux程序，都是c++代码产生的2进制代码。都是x86代码。
这些代码理论上就应该跨win linux平台，但现在谁也没实现，这个先不说。
以后64位了，也要能兼容和继承现在的代码才好，因为 “旧物” 里面还有很多有用的东西，这个也先不说。
win的32位2进制可执行程序，基本能在任何win下运行。
linux的32位2进制可执行程序，却基本不能在任何linux下运行。这个挺垃圾。

话再说回来，为win增加 “允许或者禁止某个程序访问网络 的防火墙”功能，一安装程序就行了。
linux下及使有这样的防火墙。要安装上应该也很困难，总要在不同发行版linux上重新编译，解决依赖性，升级。

总结，发行版之间的不兼容标准不统一，和以源代码发行软件的理念和习惯 导致了linux下软件的共享，分发困难，很多要依赖发行版提供商。而发行版提供商，就像一个老牛，或者乌龟。他们每个都拖着一个沉重的负担所以走的极慢。这个负担就是互不兼容的二进制软件仓库，但软件仓里的软件脸孔却都差不多。这个仓库越来越大，每当第三方软件更新，他们就要跟着更新。他们的精力虚耗了，
其结果就是，linux程序进化速度被拖慢，传播难度大，当然也有好处，蠕虫，刘忙软件等也会少些。

当然我并无意贬linux，这是我深入学习一段时间后体会到的算是linux真谛8

以上你所发表的言论，不过是你无知的愚蠢想法罢了。

springwind426

我的理解：

所有win下的应用程序访问网络都是winsock的，而这个，在windows下有一个标准的动态连接库，而那些所谓的防火墙，或者是修改这个动态连接库，或者是对这个动态连接库的函数挂钩子来进行控制，因此就出现了可以基于程序进行控制的方式（因为程序访问动态连接库的时候，必须要表明自己的身份-也就是自己的文件的全路径。）。

而linux下的防火墙都是基于内核的包过滤原理，而包过滤只是对数据包进行处理，因此就出现了只能通过端口和IP来进行控制的防火墙。

而且linux下的程序根据编译方式，可以选择是静态编译还是需要运行时的动态连接库，因此对某个共享库进行修改以达到控制的目的就变得不太可行。

在处理别人的问题的时候（当然都是windows系统），我经常遇到这样的问题，因为安装了某个防火墙软件，然后在卸载这个软件的时候出现了问题，因而导致整个系统无法访问网络，只得重新安装系统。这也是就是这种替换系统文件带来的副作用。

而且，如果大家有兴趣，可以比较一下
windows系统目录system32(nt系列)和system(win98系列，包括95)目录的变化---刚安装的系统和安装了很多程序后的系统。

或者在linux下：
高手们自己做的LFS的目录/usr/lib、/lib、/usr/local/lib目录与那些常见的发布版的相应目录（当然是安装了很多程序的发布版）的差异。

也许能够发现linux发布版与windows的一些共同弱点和优点。

所以，不要单纯的说windows和linux的好与坏，什么问题都需要一分为二的看待。

其实，理智一点，真是没有必要比较linux与windows的好坏。

晨想

Post by aleng
如果把各种软件比作车，那就有了各种车
如果把操作系统比作路，那linux就是农村的坑坑洼洼的路，过啥车都费劲。win就是城市里的柏油路+立交桥。

你的回复，已经越来越没有意义了。

1ball

Post by aleng
如果把各种软件比作车，那就有了各种车
如果把操作系统比作路，那linux就是农村的坑坑洼洼的路，过啥车都费劲。win就是城市里的柏油路+立交桥。

之所以“坑坑洼洼”，那是因为你还没把路彻底造好。一旦造好，不知比所谓的“柏油路+立交桥”快多少

Linux 高性能，高稳定性，高度定制，自由控制的特点，是需要付出一点专业水准作为代价的

没有专业水准的小朋友，没有必要也没有资格使用Linux

拿着你的windows闪一边玩去，这里是大人们干正事的地方:cool:

steeven

哇，几天没来，列为大佬已经把俺这个技术讨论贴子给灌翻了。。。

回到主题，如果按照程序设置允许或者禁止网络访问，象bt这种程序就很好放开，我用eclipse开发程序，也就不用跑个什么程序都去设置一下防火墙啦。因为涉及到j2ee等要开好多端口。如果能按照程序去allow，就方便N倍了。

有些防火墙还会在每次访问的时候询问你是否允许这次访问，有些软件会访问一些没用的站点，或者向自己网站报告信息。。。如果linux下面也有这些交互会更方便一些。

各位高手，如果实现这样的防火墙，说不定是个发财的机会呀，省点精力，少打口水战吧

yj1804

linux里面netstat都可以看到哪个程序用了哪个端口，自己写一个脚本解析一下吧。

晨想

J2EE 需要开放什么端口？偶好坏也用过一点 WebLogic，没感觉需要开很多端口，而且本身 J2EE 服务器也不应该对外的啊。。。

jstzlzp

你可以使用基于Layer7的Netfilters功能建立限制程序的firewall.

stoneme

原本防火墙就是通过对端口和地址来对网络行为判断的,现在你说的windows防火墙和这个是两回事,是对程序句的控制
1,大家都知道在类unix系统里是没法确定叫什么名字的程序是合法的叫什么名字是非法的(windows也一样),只不过在window里确实启了很多程序有时候它自己起来了我们也不知道它要干什么,所以用这种办法来控制一下,在类unix平台上根本没有必要,因为它本身不会让网上下来的东西自动运行,从而从根本上解决了程序安全的问题
2,其实在windows上指定后也不一定有用,好多程序会自己打开防火墙(只需要无意间点一步一个不大明白的按钮),这样防火墙的安全性也受到影响.
3,unix和 winodws本质上是不一样的,在unix下你启动一个自动运行的程序你一定要知道它干什么,基本上你得手工启动它,而在windows上就完全不一样,在我不知道的情况下就会启了好多,而且都是我不想启的.
另外,linux弄了selinux是用来防止外部程序对系统本身危协的,还不能和windows的防火墙放在一起说,大多数情况是说对外服务的程序如果被攻破的情况下防止外来程序通过此服务对系统造成影响,就象它说的象一个罩,让系统炼成金钟罩铁布衫,其实windows也就是因为缺这个功能,才会千疮百孔.
windows太好用了,好到连孩子都不用学就能玩,可是内功还差点,关键时候老是出毛病,病毒木马,恶意程序统统来.
linux很安全也很稳定,不过想用的时候才发现,要先学好长一断,入门还是难了点,从internet上就可以看出来,大的服务器一般是linux小的一般是windows多一点