Hur blockera alla portar utom webbläsaren?

Om TS möjligen vill begränsa till enbart webbläsning av ett fåtal tillåtna platser så kan DNS ersättas med att lägga in tillåtna platser i /etc/hosts.

Varför inte proxy istället för att få mer trevliga features som protokoll enforcement/antivirus/adblock/privacy enforcement/... om man nu skall blocka ner till bara webbsurf?
Vad är syftet?

Jag försöker konfigurera GUFW så att endast Firefox och inget annat ska tillåtas utgående trafik. Jag har förstått det som att man löser detta genom att neka all utgående trafik och lägga till en regel som tillåter utgående trafik på portarna 80 och 443. Men detta fungerar inte, all utgående trafik blockeras. Förstår inte varför det inte går, men jag fattar i och för sig inte allt som sägs i den här tråden heller Någon som kan förklara på ett enkelt sätt vad jag måste göra mer?

Har du reglerna i rätt ordning? Regeln som tillåter utgående trafik på portarna 80 och 443 måste ligga före regeln som blockerar.Vill du att endast Firefox skall tillåtas utgående trafik blir det komplicerat då du först måste köra ett skript som tar reda på Firefoxs process ID. Men har du ingen annan webbläsare installerad så är det onödigt.

Tack för ditt svar och ursäkta mitt sena svar. Jag har inte gjort någon regel som blockerar all utgående trafik utan jag har ställt in GUFW på den inställningen ("utgående: neka"). Är det alltså så att det tar överhanden och blockerar alla andra regler? Om jag förstår det rätt kan en lösning alltså vara att skapa en manuellt inställd regel som blockerar allt och som föregås av en regel som tillåter de portar jag vill använda? Hur ser regeln som blockerar ut?

Jag har inte någon annan webbläsare utan bara Firefox, men jag vill inte att något annat program ska få ha tillgång till utgående trafik. Måste jag ha ett sådant där skript du talar om då också?

Tror jag har fått detta att fungera nu. Jag har följt stegen på den här sidan: http://ubuntuforums.org/showthread.php?t=1876124

All inkommande trafik nekas. All utgående trafik blockeras. Sedan har jag lagt till följande regler:

- En som tillåter port 53, 80 OCH 443 utgående (TCP)
- En som tillåter port 53 utgående (UDP)

Allt jag vill är att kunna surfa med Firefox och inget annat program eller bakgrundsprocess ska tillåtas trafik. Gör ovanstående inställningar det möjligt?

@Mysterium:

Nej, vilket program som helst kan kommunicera via de portarna också. T.ex. om du har en annan webbläsare installerad.

Jag har ingen annan webbläsare än Firefox. Så även program som inte är webbläsare kan också kommunicera via de portarna? Hur ska man då på ett effektivt sätt kontrollera utgående trafik, det låter ju som om det inte är möjligt då?

Det man får göra är "deep package inspection". Där man helt enkelt läser av alla bitarna i varje paket och bedömmer om man gillar dem eller inte. Inte omöjligt, men ohyggligt jobbigt.

På min Windows-dator kör jag Kaspersky internet security och det programmet varnar när varje enskilt program vill ansluta till nätet och då kan man enkelt tillåta eller neka vart och ett av dessa anslutningsförsök. Varför ska det vara så svårt att få till en motsvarande enkel lösning i Ubuntu där man kan kontrollera enskilda program? Är jag ute och far efter något helt orimligt?

Ge min 1 minut ensam med din dator så surfar jag precis exakt var jag vill. Har du dessutom satt upp kaspersky är det inga problem för mig att via Chrome göra ungefär exakt vad jag vill, utöver att surfa hemsidor.

Jag trodde TS försökte göra inställningar på sin router. Att blockera detta på samma sätt som du gör med kaspersky på linux är trivialt.

Förutsätter inte detta att du har tillgång till datorn rent fysiskt? Jag menar attacker där obehöriga tar sig in utifrån och installerar programvara på min dator som sedan skickar iväg information olovligen.

Vilken är då den triviala lösningen? Om jag förstod dig rätt var din lösning väldigt komplicerad?

Ja kör man Ubuntu är det ju bara att öppna brandväggen (ser lite olika ut beroende på vilken version man kör). Blockera all utgående trafik och sedan vitlista exempelvis webbläsaren.

Googla på "Ubuntu 15.04 (eller annan version) firewall" för mer detaljer.,

Men det konstaterades ju ovan att det regleras via portarna, och att vitlista en viss port förhindrar ju inte att andra program också använder den porten. Om det finns något annat sätt att vitlista program på får gärna du, eller någon annan, upplysa mig om det.

Det konstaterades inte alls ovan. Det som konstaterades var att det finns metoder för att blockera portar. Jag menade att du skulle blockera applikationer du inte vill tillåta. Dessutom kan du blockera portarna. Då är du rätt säker.

Vill du vara mer säker kan du göra så att alla anslutningarna från datorn går via en proxy, varpå proxyn bara tillåter anslutningar till vissa sidor du definerat.

Det förutsätter väl att jag vet vilka applikationer det gäller och blockerar ju inte alla potentiella skadliga program som kan installeras utan min vetskap och som vill ha kontakt med nätet?

Jag tänker mig att du blockerar samtliga program och enbart tillåter vissa. Det kallas whitelisting.
Här finns ett litet GUI för att jobba med brandväggen https://help.ubuntu.com/community/Gufw Det kanske är enklare än terminalen.

Det verkar också lite oklart vad målet är jämfört med vad som står i texten. Är det så att du enbart vill låta användaren använda webbläsaren för att ansluta till nätet, men man får besöka alla hemsidor?

Jag tycker att jag har läst ganska mycket om detta men ingenstans hittar jag hur man vitlistar enstaka program, annat än fliken för prekonfigurerade inställningar när man lägger till regler. Men där finns ju inte ens något så trivialt som Firefox med.

Ja. Men är det även möjligt att precisera exakt vilka hemsidor man får besöka vore det bra. Målet är att jag vill kunna surfa (på de vanliga, säkra sidor jag regelbundet besöker) och att inget annat program på datorn ska få skicka iväg utgående trafik (någon annanstans) utan att jag har godkänt det.

Jag ber om ursäkt om jag har missat något totalt uppenbart, men du får gärna peka ut det för mig i så fall.