Två frågor om brandväggen GUFW

1: Där visas en lista över vilka program som för närvarande har en öppen socket, och lyssnar på inkommande trafik på en viss port. Att du avaktiverar uppkopplingen gör inte att de slutar försöka lyssna på inkommande trafik. Och de behöver inte lyssna på trafik från internet, utan kan mycket väl vara trafik som kommer från lo, dvs trafik från ett annat program på din dator.

2: Du missförstår vad de säger. Transmission är namnet på en BitTorrent-klient. https://www.transmissionbt.com/
Lite märkligt att de använder stort A på application. De menar bara deras instans av programmet vid namn Transmission.

(3: Bara så du vet: GUFW är inte en brandvägg. Inte heller UFW eller iptables är brandväggar. Brandväggen i Linux heter netfilter. GUFW är bara ett grafiskt skal till UFW. När du gör något i GUFW så skickar GUIt bara det vidare rakt av till UFW.
UFW och iptables är program som kommunicerar regler till Netfilter om hur den ska tillåta trafik.)

Det innebär enbart att de försöker lyssna. Sedan är det upp till brandväggen att filtrera vad de ska höra.
Linux använder sockets en hel del för kommunikation mellan program, exempelvis X11. Så en hel del av de programmen du ser är delar av operativsystemet, som inte är tänkt ska komma åt trafik från internet. De lyssnar på en port som brandväggen inte har öppen för eth0/wlan0 eller liknande, utan bara för lo. Så att program kan kommunicera med varandra över det virtuella nätverkskortet lo. GUFW döljer denna typ av lågnivå-detaljer för användaren, så det blir lite märkligt här, då du tror att du blockerat all nätverkskommunikation, men GUFW gör det enbart för ditt eller dina fysiska nätverkskort, och blockerar inte lo.

Jag känner inte till någon bra, annat än Google. Men jag har inte direkt letat heller.

Det finns ett gäng program som kan visa nätverkstrafik på ett gäng olika sätt. Vad exakt vill du se, och hur pass detaljerat?
Exempelvis Wireshark loggar alla paket som din dator hanterar, och så kan du se exakt vad som händer. Men det är lätt att drunkna i all information.
Terminalkommandot "sudo netstat -apn" visar alla processer som aktivt (försöker) använda nätverket. Du kan använda "-apnt" för att bara visa TCP-trafik, eller "-apntu" TCP och UDP, så slipper du en massa bakgrundsprocesser.
Det finns ett antal grafiska skal till netstat som gör de lite trevligare att använda, men där man också förlorar inställningsmöjligheter. Exempelvis NetActiView: http://netactview.sourceforge.net/

Det känns som att du blivit lurad av Kaspersky, att deras brandvägg skulle ge säkerhet (deras antivirus ger säkerhet, men en brandvägg ger inte säkerhet mot skadlig kod, eller kan användas på ett rimligt sätt för att undvika eller blockera skadlig kod). Och att du nu försöker hitta ett motsvarande program som kan lura dig på samma sätt även i Linux.

Virus och skadlig kod finns inte på samma sätt till Linux som till Windows. Och om du mot förmodan skulle åka dit på ett root-kit (vilket är löjligt extremt ovanligt för en vanlig dator) eller liknande så är det ett tämligen dåligt sätt att detektera det på. Du ser bara vilka program som nu använder nätverket, inte vilka som väntar och kommer att använda nätverket då och då. Och det är ju trivialt att bara tunnla trafiken genom ett annat program. Telnet, CURL eller något annat liknande bara.

Skydd mot skadlig kod ska inte komma genom att användaren manuellt letar efter det. Det ska blockeras automatiskt, helst som Linux genom att inte ha välkända öppna säkerhetsluckor, utan att snabbt rätta till säkerhetsluckor när de upptäcks.
Antivirus är som att se att man har hål i en vattenslang, och då anställa en person som står och håller tummen över hålet i stället för att bara laga hålet.

Det kan vara ganska främmande och annorlunda i Linux om man bara kört Windows innan. Säkerhet fungerar helt annorlunda i Linux mot Windows. Släpp hela idén med att du behöver göra något eller skaffa något för att få Linux säkert. Linux är säkert från grunden. Kör säkerhetsuppdateringar genom apt (eller något gui som tar det via apt). Och försök att begränsa att öppna upp säkerheten i Linux om du är orolig. Installera program genom officiella säkra källor (ej .deb-filer från internet, eller tredjepart PPA eller liknande). Använd inte root och su/sudo i onödan och liknande.
Men en vanlig desktop-dator med Linux har inte så mycket att vara rädd för vad det gäller säkerhet. Det är snarare servrar och företag som bör vara lite oroliga för riktade attacker. Den typen av passivt spridande virus och bot-nät finns inte i praktiken till Linux.