Wie bei Iptables sehen welches Programm raus verbinden will?

[SarahS93]

Habe Iptables so eingestellt das alles was nicht in mein Regelwerk passt geloggt wird.
Wie kann ich es eintellen das ich dazu auch noch den namen von dem Programm angezeigt bekomme das sich z.B rausverbinden will?

[ChrisJumper]

Generell kannst du mit lsof welches ja normalerweise anzeigt welche Prozesse eine bestimmte Datei geöffnet haben, auch herausfinden welches Programm welchen Socket/Port nutzt.

IPTABLES selber bietet diesen Service aber nicht. Die OSI-Schichten trennen ja nicht ohne Grund die Ebenen der Verbindung. Zwar sind Anwendungsfirewalls und Deep Packet Inspection aktuell in Mode, bringen dir aber auf einem Router nichts.

Ich bin mir nicht sicher ob dein Anwendungsfall das zulässt. Aber du könntest halt deine Programme Modifizieren/Konfigurieren damit sie einen bestimmten Socket oder Port benutzen. Eventuell dann noch spezielle Filterregeln erstellen, eine eigene Iptable-Ketten/QUEUE's die dir dann eine umfangreichere Auskunft geben und zulassen spezielle Filterregeln darauf anzuwenden und so entsprechend das Logging auch feiner gestalten.

Das sich ein "Evil Trojaner" dann aber trotzdem von Port 80 bedient, oder vorher deinen Browser kompromittiert hat erkennt man so aber auch nicht. Ich fürchte eine einfache alles umfassende Lösung "Ich will dazu jetzt aber eine Anwendung auf meinem System." gibt es nicht. Aber schau einfach mal nach einer Anwendungsfirewall, das gibt es bestimmt schon. Ein Schlagwort ist auch WAF (Web Application Firewall), eine Open Source Variante ist mir aber bisher auch nicht bekannt.