OpenSnitch：Linux 平台的应用防火墙

OpenSnitch：Linux 平台的应用防火墙

evilsocket 开源的 OpenSnitch 项目，目前获得 13,631 个 Star：

OpenSnitch 是面向 GNU/Linux 系统的应用防火墙。它可以对系统的出站连接进行交互式过滤，用户可以根据实际需求决定是否允许某个应用发起网络请求。用户可以为不同应用设置单独的网络访问规则，避免未授权的网络请求泄露本地数据。

OpenSnitch 支持系统级别的广告、追踪器或恶意软件域名拦截，用户可以配置对应的规则列表实现该功能，所有符合规则的网络请求会被直接拦截。用户也可以通过图形界面直接配置系统防火墙，使用 nftables 框架调整入站策略、允许内部服务访问等需求，不需要手动编写复杂的防火墙规则。

该工具支持多节点管理，用户可以在一个集中的图形界面中管理多个设备上的 OpenSnitch 实例，适合维护多台 Linux 设备的用户使用。它还支持与 SIEM 系统集成，方便用户将网络连接日志导入安全信息与事件管理系统做进一步分析，满足企业级的安全管理需求。

用户可以从项目的 GitHub Releases 页面下载对应系统的 deb 或 rpm 安装包，适配目前主流的 Linux 发行版。

Debian 系列系统安装命令如下：

$ sudo apt install ./opensnitch*.deb ./python3-opensnitch-ui*.deb

RPM 系列系统安装命令如下：

$ sudo dnf install opensnitch*.rpm

安装完成后，用户可以运行 opensnitch-ui 命令启动图形界面，或者从系统应用菜单中直接打开。详细的安装说明和配置教程可以参考项目 Wiki 文档。

OpenSnitch 运行时会拦截系统内所有发起的网络连接，用户可以看到每个应用的请求目标地址、端口、进程ID等信息，然后选择允许或拒绝该连接，也可以设置永久规则避免重复提示。项目仓库的讨论区有大量用户分享的拦截案例，用户可以参考这些案例调整自己的规则配置。如果用户发现意料之外的网络连接，也可以提交到项目讨论区与其他用户交流。

该项目已经被多家技术媒体报道，包括 PenTest Magazine、It’s Foss、Linux Format、Linux Magazine 等，覆盖多个国家的技术读者群体。

如果用户觉得 OpenSnitch 有实用价值，可以通过项目仓库右侧的 Sponsor 区域为开发人员提供捐赠，支持项目的持续开发。当前项目的维护者列表可以在项目提交记录页面查看。

项目接受社区贡献，包括代码提交、问题反馈、功能建议等，贡献者列表可以在项目仓库的对应页面查看。如果用户有兴趣参与翻译工作，可以通过 Weblate 平台提交翻译内容，目前项目支持多种语言的界面翻译，翻译进度会实时同步到项目版本中。

开源地址：https://github.com/evilsocket/opensnitch

s://github.com/evilsocket/opensnitch