IPTables und ProzessID vom Client

Hallo Forum!

Inwiefern besteht denn die Möglichkeit Firewallregeln anhand der PID bzw. des Prozessnamens einer Clientverbindung auszuwerten?
Lokal installierte Firewalls auf dem Clientrechner machen das ja schon ganz gut.

Interessant zu wissen wäre jetzt natürlich, ob eine vorgelagerte Firewall soetwas ebenfalls übernehmen könnte. Der Zugewinn von Sicherheit ist dabei bestimmt nicht unerheblich, zumal dadurch auch der Clientrechner entlastet wird.

Problem dabei ist wahrscheinlich das Protokoll, welches diese Zusatzinformation nicht überträgt.

Wäre soetwas vielleicht mit einem Zusatzmodul für IPTables realisierbar?
Gibt es soetwas bereits?

http://freshmeat.net/projects/l7-filter/
könnte sein was Du suchst.

Hallo Geier!

Das ist nicht ganz das was ich suche. Mir geht es eigentlich darum, eine Firewalllösung zu haben, die Pakete nicht nur anhand der Ports und IP-Adressen auswertet, sondern auch das Prgramm, dass die Pakete verschicken möchte, betrachtet.

Folgendes Beispiel:
Ich habe auf meinem Client ein Programm - nennen wir es mal Steins-trojan.exe - welches über den http-Port Daten versendet. Da mein Router/Firewall aber definitiv alles über Port 80 durchlässt, werden die Daten verschickt. Um das zu unterbinden müsste ich den Port 80 schliessen, was mir dann aber ebenfalls das Surfen verbietet.

Ein Lösungsansatz wäre vielleicht folgender:
Ich installiere auf dem Client ein Protokoll, welches zusätzlich zu dem ganzen TCP/IP Zeuch noch den Programmnamen mit anhängt. Meine Firewall müsste dann natürlich in der Lage sein die Zusatzinformationen aus dem Paket herauszulesen und mit den Regeln zu vergleichen.

Sollte das machbar sein, hätte ich einen Zugewinn an Sicherheit für meine Daten im internen Netz und einen Zugewinn an Leistung der einzelnen Clientrechner, da diese nicht mehr mit einer zusätzlichen Firewall, die ausgehende Datenbverbindungen überprüft, belastet werden.

http://home.arcor.de/nhb/pf-austricksen.html ist zwar schon älter, hat aber nichts an aktualität eingebüßt.

Und der Tip den ich dir gab, wertet ja gerade nicht nur den Port und die Adresse aus, sondern den Traffic. Dh damit kannst Du zB Tunnelversuche von e-mule oä über Port 80 unterbinden, weil dieses ein anderes Protokoll verwendet als normales http. Ich denke Du solltest dich mit der gesamten Materie noch ein bißchen intensiver beschäftigen. Ließ erstmal in einer ruhigen Minute den Link aus diesem Post.