Есть ли какой-нибудь нормальный firewall для Linux, со способностью без лишних "ухищрений" фильтровать исходящие пакеты в зависимости от процесса их породившего (ну допустим разрешить только mozille доступ по 80 порту)

Ну дык курим man iptables ) Сделает все, что ты захочешь и чуточку больше
Почитать мона тут
iptables для начинающих

Я ж просил без заморочек поддерживающий фильтрацию на уровне приложений.
В iptables раньше может и был модуль owner с match`ем --cmd-owner. Но больше в owner`е этот match, а также --pid-owner --sid-owner больше не поддерживаются. Можно, конечно мозги попарить и сделать фильтрацию на основе --gid-owner. Но уж больно это морочно, и пользоваться этим я буду на крайний случай.

Я думаю, что если ты найдешь firewall под линух, то это будет всего навсего морда к itables.
Сам таких зверей в природе не встречал.
Посмотри ебилды в net-utils

Скорее уж в net-firewall. Но там на самом деле восновном морды на iptables, в большинстве описаний к так называемым файрволам которые я нашел в интернете так и написано - система управления файрволлом в Linux.
Но вот вопрос, что же это за ориентировання на сетевую работу ос, в которой без мороки можно реализовать фильтрацию на уровне приложений.
Видать придется всё таки морокаться с --gid-owner и SGID битом. Но как-то это всё несерьезно
Добавлено @ 13:44
Зы Зато работает

guarddog

Это всего лишь интерфейс для настройки iptables, насколько мне память не изменяет.

iptables можно и на юзера настраивать, но все это несерьезно, потому, что с точки зрения безопасности, если есть сетевая точка ( компутер/роутер/свитч ) - не важно какой юзер на ней сейчас бежит. должна быть системная политика.
а если ты хочешь приложения блокировать, то твой фаервол, бедняжка должен как-то узнавать, что если какая то прога называется мозила, то это на самом деле мозила... кроме как держать md5sum всех мозил и мурзил - не вижу возможности, а фаервол во время вычисления этой суммы загрузит систему не по-детски, и таким дурацким образом - любой пользователь сможет загрузить твой компутер ДО ОТКАЗА НА 100%.
и о какой безопасности можно говорить на таком компутере.

а теперь простой вопрос: что же ты хочешь делать блокировать ? и зачем?!!?!
может быть тебе стоит посмотреть в сторону SELinux или RSBAC.

пока.

Цитата(bilbobagginz @ 11.1.2006, 18:08 )

а если ты хочешь приложения блокировать, то твой фаервол, бедняжка должен как-то узнавать, что если какая то прога называется мозила, то это на самом деле мозила... кроме как держать md5sum всех мозил и мурзил - не вижу возможности

Ну вот здесь и может помочь способ с использованием эффекктивной группы процесса (ну по-крайне мере мне так кажется - может вы меня и разубедите).
Для программы, которой нужен доступ в сеть, мы создаем отдельную группы (лучше со спец префиксом, чтобы было понятно назначение группы - в моем случае я назвал для links - FWlinks). Далее меняем группу запускаемого приложения на вновь созданную и устанавливаем бит SGID для исполняемого файла. Далее фильтруем, используя iptables и модуль owner.

Цитата

iptables -A OUTPUT -m owner --gid-owner FWlinks -j ACCEPT

После, чего если необходимо было использовать группу для ограничения доступа к файлу, то можно использовать данную группу.

PS
А задумался над фильтрацией ради интереса, но вообще от закладок может выручить. Хотя в linux/unix. способов сделать закладку, используя программы, которым разрешен доступ к сети (будь то браузер или wget какой-нибудь) великое множество, но все ж хотелось хотябы так, для закладчиков не отягощенных интелектом.

Цитата

А задумался над фильтрацией ради интереса, но вообще от закладок может выручить. Хотя в linux/unix. способов сделать закладку, используя программы, которым разрешен доступ к сети (будь то браузер или wget какой-нибудь) великое множество, но все ж хотелось хотябы так, для закладчиков не отягощенных интелектом.

не понимать... что это 'закладки' ?

ты имеешь в виду bookmarks, добавляющие посредством JavaScript bookmarks и изменяющие хоум-пейдж ?
это же элементарно лечится блокировкой операций Жаба-Скрипт...

Нет это зловредный код в не в open-source программах, ну может предоставлять shell.