Little Snitch вышел для Linux — культовый macOS-файрвол теперь бесплатен и частично open source

На macOS он стоит €59 и считается обязательным инструментом. На Linux — бесплатен, работает на eBPF и показывает, какие приложения стучатся в сеть. Разбираем, что умеет и чего не умеет.

Новости Tproger
Обложка: Little Snitch вышел для Linux — культовый macOS-файрвол теперь бесплатен и частично open source

Если вы когда-нибудь хотели видеть, какие приложения на вашем Linux-сервере или десктопе тихо стучатся в сеть — теперь можете. Little Snitch, культовый macOS-файрвол с 20-летней историей, впервые вышел для Linux.

Little Snitch — приложение-файрвол, которое показывает все исходящие сетевые соединения в реальном времени, позволяет блокировать нежелательные и отслеживать историю трафика по каждому процессу. На macOS это стандартный инструмент для разработчиков и безопасников.

Ключевые выводы
  • Little Snitch для Linux отслеживает все исходящие соединения через eBPF и позволяет блокировать их в один клик
  • Веб-интерфейс на localhost:3031, можно установить как PWA
  • Поддерживает блоклисты (Hagezi, Peter Lowe, Steven Black) и кастомные правила по процессам и портам
  • eBPF-модуль и веб-интерфейс — open source (GPLv2), демон — проприетарный, но бесплатный
  • Инструмент для приватности, не для защиты от целенаправленных атак — авторы честно об этом предупреждают

Как устроен

Little Snitch работает на основе eBPF — технологии, которая позволяет запускать программы внутри ядра Linux без модификации самого ядра. eBPF-модуль перехватывает исходящие соединения и передаёт данные демону, который ведёт статистику, применяет правила и обслуживает веб-интерфейс.

Интерфейс доступен по адресу localhost:3031 — можно открыть в браузере или установить как Progressive Web App. Chromium-браузеры поддерживают PWA нативно, для Firefox есть расширение.

Что можно делать

Мониторинг соединений

Главный экран показывает текущие и прошлые соединения по приложениям: что заблокировано правилами, объём трафика, история активности. Можно сортировать по последней активности, объёму данных или имени, фильтровать список. Заблокировать соединение — один клик.

Диаграмма трафика внизу показывает объём данных за период. Можно выделить временной диапазон — список соединений отфильтруется до активности в этом окне.

Блоклисты

Можно подключить внешние блоклисты для массовой блокировки нежелательного трафика. Поддерживаемые форматы: один домен на строку, формат /etc/hosts, CIDR-диапазоны. Популярные списки — Hagezi, Peter Lowe, Steven Black, oisd.nl.

Важно: формат .lsrules из macOS-версии Little Snitch несовместим с Linux-версией.

Кастомные правила

Правила позволяют фильтровать точнее, чем блоклисты: можно указать конкретный процесс, порт, протокол. Например, разрешить Firefox ходить куда угодно, но заблокировать телеметрию конкретного приложения.

Честно об ограничениях

Авторы прямо говорят: Little Snitch для Linux — инструмент для приватности, а не для безопасности. macOS-версия использует deep packet inspection для надёжной привязки соединений к процессам. На Linux фундамент — eBPF, у которого строгие ограничения по размеру хранилища и сложности программ.

Под высокой нагрузкой кэш-таблицы могут переполниться, и привязать каждый пакет к процессу или DNS-имени не получится на 100%. Для контроля телеметрии и приватности — работает отлично. Для защиты сервера от целенаправленных атак — не тот инструмент.

Лицензия и исходный код

У проекта три компонента с разными лицензиями:

  • eBPF-модуль ядра — GPLv2, исходный код на GitHub
  • Веб-интерфейс — GPLv2, исходный код на GitHub
  • Демон (littlesnitch --daemon) — проприетарный, но бесплатный для использования и распространения

Конфигурация — через текстовые TOML-файлы в /var/lib/littlesnitch/config/. Для кастомизации копируйте файл в /var/lib/littlesnitch/overrides/config/ — Little Snitch всегда приоритизирует override.

Частые вопросы
1
Чем Little Snitch отличается от iptables/nftables?

iptables и nftables работают на уровне пакетов и IP-адресов. Little Snitch привязывает соединения к конкретным процессам и показывает, какое именно приложение куда стучится. Плюс удобный веб-интерфейс вместо CLI-правил.

2
Можно ли использовать на сервере без GUI?

Да. Веб-интерфейс доступен по HTTP, GUI-зависимостей нет. Можно открыть через SSH-туннель или проксировать через nginx. Демон работает headless.

3
Это бесплатно?

Да. Демон проприетарный, но бесплатный. eBPF-модуль и веб-интерфейс — open source под GPLv2. На macOS Little Snitch стоит €59, на Linux — полностью бесплатен.

Итог

Little Snitch на macOS стоит €59 и считается must-have для разработчиков. Linux-версия бесплатна, частично open source и закрывает давнюю нишу — удобный контроль исходящего трафика с привязкой к процессам. Если вы хотите видеть, что ваш десктоп или сервер делает в сети — попробуйте.

В этой статье
  1. Ключевые выводы
  2. Как устроен
  3. Что можно делать
  4. Честно об ограничениях
  5. Лицензия и исходный код
  6. Частые вопросы
  7. Итог
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter