Little Snitch: Отключает ли ограничение адреса/порта для приложения будущие запросы на подключение?

Я скачал пробную версию Little Snitch .

После установки, когда мне будут предложены запросы на подключение, у меня есть возможность разрешить или запретить подключение через «Любое подключение» или «Только» определенное подключение.

введите описание изображения здесь

Если я выберу « Только навсегда », я предполагаю, что правило не позволит приложению подключаться к другому адресу/порту.

Но если приложение хочет подключиться к другому адресу/порту — будет ли мне предложено установить новое правило для этого конкретного адреса/порта — или первое правило фактически заблокирует все будущие запросы Little Snitch?

Что касается вышеуказанного вопроса, отличается ли поведение между Allow и Deny ? Например:

  1. Если я разрешаю ТОЛЬКО определенный адрес и порт — отключит ли он подсказки для всех будущих вариантов адреса и/или порта ?
  2. Если я отклоню ТОЛЬКО определенный адрес и порт , будут ли отключены подсказки для всех будущих вариантов адреса и/или порта ?

Я предполагаю, что (2) выше будет просто отрицать эту конкретную комбинацию, но как насчет ограничения разрешения, как в (1)?

Это булева логика. Ваш выбор: разрешить или запретить [конечно]. Тогда вашими операторами будут «кто» и «что». Вы можете установить «кто», «что» или «кто И что» или «кто ИЛИ что». Ссылка [для полного объяснения перебора] en.wikipedia.org/wiki/Boolean_алгебра
@Tetsujin Я до сих пор не совсем понимаю, если разрешение только XYZ:80 навсегда не позволит LS запрашивать, может ли приложение достичь ZYX:443. Я прочитал ваш ответ несколько раз и пытался понять это при переустановке, чтобы очистить загрузочные кеши LS ... На самом деле это не логическая логика, а то, будет ли LS предлагать мне обновить мои правила, когда приложение делает запрос.
Поскольку это логическая логика, если я разрешаю только определенную комбинацию, мне кажется, что никаких дальнейших запросов не будет, если действительно LS пренебрегает этой настройкой. Но что я действительно хочу сделать, так это обработать каждый уникальный запрос правила, который он делает.
Предполагая, что ваши префы LS установлены на «если правило еще не установлено, спросите», что является значением по умолчанию, тогда [я могу сделать это только в псевдокоде]... if(my.app && xyz.com && 443) deny; еще спросите; будет отказывать, только если все три условия соблюдены, иначе будет спрашивать. Я по-прежнему придерживаюсь мнения, что начинать надо сверху вниз, а не снизу вверх. В противном случае вы создаете набор правил, который полностью запутает вас в будущем.

Ответы (1)

Если вы нажмете «Отклонить» на изображении, которое вы разместили, дальнейшие уведомления не будут отображаться [и в соединении будет отказано] для gamed, пытающегося подключиться к (static.gc.apple.com И порт 443), а не для (static.gc .apple.com ИЛИ порт 443).

Любые и все остальные попытки подключения будут помечены — например, будет помечено подключение к static.gc.apple.com через порт 442 или подключение к notstatic.gc.apple.com через порт 443.

При следующем запуске игры ваш предыдущий отказ снова будет отмечен для вашего внимания, так как вы отрицали его только до выхода.

Примечание.
Если вы нажмете на static.gc.apple.com в строке выше, вы можете расширить домен, который хотите заблокировать, хотя следует сказать, что блокировка устройств и служб Apple [gamed — это служба Apple] от подключения к Apple на самом деле не будет хорошим шагом в долгосрочной перспективе.
В общих чертах, Little Snitch можно использовать для блокировки любого или всех подключений к любому приложению или сервису — либо как точный инструмент, либо как кувалду!
Его следует использовать с осторожностью.

Спасибо! Кроме того, я должен спросить, что, если я только РАЗРЕШУ , это заблокирует будущие запросы для этого приложения и/или адреса? Моя цель здесь состоит в том, чтобы иметь детальный контроль, поэтому я не хочу ограничивать только разрешение , чтобы предотвратить будущие подсказки. static.gc.apple.com AND port 443
imo, это зависит от вашей конечной цели, особенно с точки зрения подключения к Apple. Предполагая, что вы считаете, что Apple как организация является доверенным доменом (если это не так, то у всех нас проблемы;), тогда, вероятно, имеет смысл сначала разрешить любому приложению свободно управлять доменом 17.xxx, который является полностью Apple. Little Snitch довольно хорошо знает, «кто есть кто» в больших доменах, поэтому вы можете просто разрешить «любой» для apple.com, iCloud.com и т. д., и он выберет из этого фактические сети. Apple также владеет частью домена 2.xxx. [продолжение...]
[...продолжение] Как только это будет сделано, как и в случае с любым брандмауэром, оттачивайте его, вместо того, чтобы пытаться работать вверх от каждого крошечного поддомена/сервиса.
Извините, я должен был быть более четким — скриншот просто взят из Интернета, и мой вопрос не относится конкретно к службам Apple :) Мой вопрос больше касается природы логики правил и подсказок.
Хорошо, тогда мой вышеприведенный «сверху вниз» все еще применим — сначала решите, что вы хотите разрешить, а не запретить. Отдельные приложения, которым вы хотите запретить «звонить домой», затем установите для них определенные наборы правил. LS настолько детализирован, насколько вы могли когда-либо хотеть... например, разрешить «всем» подключаться к xyz.com, а затем запретить foobar.app подключаться ТОЛЬКО к xyz.com через порт 21. Одно из преимуществ LS по сравнению с корпоративным брандмауэр может определить приоритет правила для вас
Little Snitch: Отключает ли ограничение адреса/порта для приложения будущие запросы на подключение?
СпросиСетьПолитика конфиденциальности1y, 0v