4847 ответов в теме

[Xenom]

14/04 LTS

[moonjasper]

Существует ли в Linux фаерволл, фильтрующий приложения, а не только ip с портами? Понимаю, что в глубине процессов будет лежать создание профиля для каждого приложения с прописыванием правил на основе тех же ip и портов с протоколами. Только сам я бился-бился с ufw, и не смог. То инте обрушивается совсем, то половины контента веб-страниц не видно.

[gl00m]

gufw

[moonjasper]

gufw

Да, именно им и пользуюсь. Но он не фильтрует приложения. Нашел вот такую прогу http://douaneapp.com/

[gl00m]

Да, именно им и пользуюсь. Но он не фильтрует приложения. Нашел вот такую прогу http://douaneapp.com/

Эмм, вообще то фильтрует, точнее позволяет создавать правила для приложений.

[moonjasper]

Вот, например, Comodo при попытке приложения выйти в Сеть, сразу выкидывает сообщение, мол, такое-то приложение лезет в нет по такому-то адресу и порту с протоколом и спрашивает блочить или нет. А ufw действует по предопределенным правилам. Я вот не знаю, как для всех открыть, например, 443 порт, а для конкретного приложения закрыть. Я могу в принципе его открыть или законопатить.

[Infine]

Понимаю, что в глубине процессов будет лежать создание профиля для каждого приложения с прописыванием правил на основе тех же ip и портов с протоколами

НетЪ. Ну или даЪ.

 

Точнее, если тебя интересуют только входящие соединения, то да. В том смысле, что есть /etc/services, и будет работать что-нибудь вида $firewall allow ssh in.

 

Если же ты хочешь ограничивать доступ локальных процессов к сети, то всё гораздо сложнее, поскольку процесс будет в общем случае открывать исходящее соединение со случайного непривелегированного порта. Т.е. файрволл должен знать о существовании данного конкретного процесса. Это назывется application firewall, и с ними напряг. Хотя бы потому, что не совсем понятно, зачем они нужны. Если тебе нужен application firewall, - это значит, что ты не доверяешь локально запущенному приложению, и тут уже поздно пить боржоми.

 

Ну или не совсем поздно. Для случаев недоверия к локальному приложению есть SELinux/AppArmor, и они в том числе (как одна из великого множества функций) позволяют достаточно подробно регулировать доступ отдельных процессов к сети. В т.ч. при большом желании (курить маны) позвояют организовать application firewall.

 

В качестве костыльной альтернативы можно использовать маркировку пакетов по группе.

Идея в том, что ты запускаешь недоверенное приложение через sg $group, в цепочке mangle маркируешь заранее определенным флагом через -m owner --gid-owner $group -j MARK --set-xmark $mark пакеты процессов, запущенных от имени этой группы, а в цепочке filter через -m mark --mark $mark блокируешь пакеты с этим флагом.

Сообщение отредактировал Infine: 31 August 2015 - 10:03

[moonjasper]

Спасибо, конеш... Но, уверен, я сие не осилю, увы. Кстати. А какой дистрибутив Линукса наиболее мультимедиен? Столкнулся на Убунте с тем, что она с завидной регулярностью крашит видеоприложения при сжатии видео в h264. По работе надо на бэкграунд сайта закинуть видео, а оно вона чо. С 20 захода плюнул и через handbrake замутил по старинке. Linux Mint более стабилен в этом плане?

[Infine]

ХЗ. С пережиманием видео сталкивался один раз. Пробовал Kdenlive - крашится.

Плюнул, покурил ман к ffmpeg'у, пережевал им.

[Fronthe]

Как можно решить проблему зависания евы при сворачивании?
Если в вайне выставить галку на виртуальный рабочий стол то не виснет но и не сворачивается(продолжает жрать ресурсы в полном объёме)
М.б. дело в гноме? под убунтой у меня вроде не висло при сворачивании - хотя неуверен.
P.S. попробовал вайн 1.7.50 с патчами staging - включение csmt в настройках вайна даёт реально много производительности. Может не 50 - 100% как пишут но на андоке житы с 30 - 40 ФПС подымает до 50 - 60.

Сообщение отредактировал Fronthe: 04 September 2015 - 8:46

[Fronthe]

Похоже проблема с primus - на гите есть исправление подобной проблемы, вечером попробую собрать примус с гита.

[smART_dog]

Привет линуксойдам! позвольте вставить 5 копеек.

захотел иметь игру всегда с собой и поставить ее на рабочий ноут: проц i7, графа HD4000

юзаю Gentoo x86 (на 64-битную влом пересобирать, да и не вижу смысла), ядро 3.18.12

 

был приятно удивлен, когда слил игру с домашнего компа (на выньдосе 7) и она без шаманства стартанула под Wine 1.6.2 -- только путь к шаред кэшу указал.

правда длилась радость до непосрественного входа, когда обнаружилась пропажа текстур, хотя я и по приборам майнил нормально так вышел на сию ветку и хочу поблагодарить топикстартера за мануал -- driconf помог мне.

 

Насчет производительности, я опасался, что на встроенной графике будут тормоза, но все хорошо. На настройках графики "на производительность" никаких лагов. проц подгружен примерно так: 2 ядра ~45%, 1 ~75%.

еще заметил, что лучше вырубать ланчер после запуска игры -- уменьшается нагрузка на проц.

[Distorti]

Зло берёт. У всех всё работает, у меня нет. Помогите!

 

Спойлер

ixme:win:GetWindowPlacement not supported on other process window 0x60116

X Error of failed request:  GLXUnsupportedPrivateRequest

  Major opcode of failed request:  155 (GLX)

  Minor opcode of failed request:  16 (X_GLXVendorPrivate)

  Serial number of failed request:  8750

  Current serial number in output stream:  8751

 

Такую фигню выдаёт мне терминал, после запуска лаунчера и логина в нём. Т.е. при попытке запустить игру под вайном. Вайн 1.7.44. Дрова на видео ставил, директ икс ставил, уже не знаю что делать.  До этого были другие проблемы, но их уже вроде решил (DNSAPI.dll) 

Гуглил на английских сайтах кучу вариантов. Всё нет прока.

Короче, я в отчаянии, весь день мучаюсь! 

Помогите, пожалуйста.

Сообщение отредактировал Distorti: 07 September 2015 - 20:52

[Fronthe]

Сложно понять что не так...

Вчера как раз ставил  вайн еву и не было такой проблемы.

https://appdb.winehq...rsion&iId=25823

тут все компоненты которые для евы нужны.

а и убедись что вайн 32 битный

WINEARCH=win32 WINEPREFIX=~/win32 primusrun wine /home/alex/win32/drive_c/Program\ Files/CCP/EVE/eve.exe 

Так у меня выглядит команда для запуска евы. И вайн у меня 1.7.50-staging

[nvbooster]

 

еще заметил, что лучше вырубать ланчер после запуска игры -- уменьшается нагрузка на проц.

 

привет привет. а еще лучше не пользоваться ланчером, а запускать напрямую бинарник, а ланчер дергать только для обновления клиента.

[moonjasper]

В связи с выходом нового Debian, меня не покидает мысль... А, может, стоит поставить его, а не его форки, не могущие в Mate, без нормального системного трея и тайлового экрана? Погуглил. Вроде, примерно то же самое, что и Ubuntu, но с оговорками. Я шибко заблуждаюсь? Или для нуболетов в Линуксах лучше Ubuntu / Mint не найти?

[shidan]

В связи с выходом нового Debian, меня не покидает мысль... А, может, стоит поставить его, а не его форки, не могущие в Mate, без нормального системного трея и тайлового экрана? Погуглил. Вроде, примерно то же самое, что и Ubuntu, но с оговорками. Я шибко заблуждаюсь? Или для нуболетов в Линуксах лучше Ubuntu / Mint не найти?

Нуу

Там добавить testing и nonfree репо, а в остальном только то что софт не очень свежий.

[moonjasper]

Ну, т.е. в принципе я покупаю не слишком уж большой гемор по установке пакетов за цену большей стабильности родительской ОС, а не ее ветви (форка). Я правильно понял? Убунта просто того... ДЕ, который мне нравится, работает в режиме совместимости, шорткаты не всегда работают, на системный трей у них свои взгляды и т.д. по списку.

OpenShot вылетает слишком уж часто. KDEnlive крашится при кодировании в *.mkv H264 кодеком.

[shidan]

Ну, т.е. в принципе я покупаю не слишком уж большой гемор по установке пакетов за цену большей стабильности родительской ОС, а не ее ветви (форка). Я правильно понял? Убунта просто того... ДЕ, который мне нравится, работает в режиме совместимости, шорткаты не всегда работают, на системный трей у них свои взгляды и т.д. по списку.

OpenShot вылетает слишком уж часто. KDEnlive крашится при кодировании в *.mkv H264 кодеком.

таким макаром ты можешь с нетинстала начать у убунты и использовать нужный тебе ДЕ

[Fronthe]

Допилил последние критичные баги евы под арчем и потестил - полетал инкуршены.

ФПС был точно не ниже винды возможно даже больше

Вообщем очень играбельно. Основные баги были с гибридной графикой в частности с примусом(примус из оф репа не содержит багфикс нужный тк этот багфикс еще не релизнут) Драйвер нвидии 352 в отличии от более ранних не вызывает глюков с белым экраном при взрыве шипов. Ну и вайн нужен либо стагинг(csmt - дал процентов 30 производительности) либо с галиумом(на оф форме евы пишут что с csmt у него 110 фпс в доке а с галиумом 200+(проверить не могу))