Bezpieczeństwo IT
Jak zablokować program w firewallu - 3 skuteczne metody na Linuxie

Jak zablokować program w firewallu - 3 skuteczne metody na Linuxie

9 kwietnia 2026

Palec naciska klawisz Enter na klawiaturze laptopa, co może być częścią instrukcji, jak zablokować program w firewall.

Spis treści

Najkrótsza droga do skutecznej blokady programu
Co naprawdę blokujesz, gdy odcinasz aplikację od sieci
Kiedy lepiej wybrać regułę programu, a kiedy port lub usługę
Windows pozwala blokować program po ścieżce pliku
- Najprościej zrobisz to w oknie zaawansowanych reguł
- Gdy wolisz linię poleceń
W Linuksie blokada zwykle idzie przez port, usługę albo UID procesu
Jak sprawdzić, czy reguła działa i niczego nie zepsuła
Najczęstsze błędy, które sprawiają, że blokada nie działa
Co zrobiłbym na koniec, żeby reguła była bezpieczna i łatwa do odwrócenia

Blokada konkretnej aplikacji w zaporze ma sens wtedy, gdy chcesz odciąć ją od internetu, zatrzymać połączenia przychodzące albo sprawdzić, czy naprawdę nie powinna nic wysyłać. W praktyce sposób zależy od systemu: Windows pozwala wskazać plik wykonywalny bezpośrednio, a w Linuksie częściej pracuje się na portach, usługach, UID procesu albo cgroup. Poniżej rozkładam to na proste kroki, pokazuję różnice między metodami i podpowiadam, gdzie najłatwiej popełnić błąd.

Najkrótsza droga do skutecznej blokady programu

Najpierw ustal kierunek ruchu - w praktyce najczęściej chodzi o blokadę wychodzącą, a nie przychodzącą.
Na Windowsie możesz zablokować konkretny plik `.exe` po ścieżce, co daje największą precyzję.
Na Linuksie UFW i firewalld zwykle działają na poziomie portów i usług, a nie samej binarki.
Jeśli potrzebujesz blokady po procesie, najbliżej celu jest nftables z dopasowaniem po UID albo cgroup.
Nie mieszaj blokady programu z blokadą portu, bo efekt może być inny niż oczekujesz.
Po wdrożeniu zawsze testuj - zwłaszcza profil sieci, IPv6 i ewentualne procesy pomocnicze.

Co naprawdę blokujesz, gdy odcinasz aplikację od sieci

Ja zaczynam od jednej rzeczy: firewall nie „widzi programu” tak jak użytkownik, tylko pakiety i ich metadane. Dlatego blokada może dotyczyć ruchu wychodzącego, przychodzącego, konkretnego portu, adresu IP, a czasem także procesu uruchomionego przez określonego użytkownika. To ważne, bo wiele osób chce po prostu „wyłączyć internet aplikacji”, a ustawiają regułę dla ruchu przychodzącego i potem wszystko wygląda jakby nie działało.

Ruch wychodzący blokujesz wtedy, gdy program ma przestać łączyć się z serwerami zewnętrznymi, pobierać aktualizacje, synchronizować dane albo wysyłać telemetrię. Ruch przychodzący ma znaczenie, gdy aplikacja nasłuchuje na porcie i nie chcesz, aby ktoś z zewnątrz mógł się do niej dobrać. W praktyce te dwie sytuacje myli się najczęściej, a to zupełnie różne reguły.

Druga rzecz, którą warto mieć z tyłu głowy: jedna aplikacja często uruchamia kilka procesów, usługę w tle albo osobny updater. Jeżeli zablokujesz tylko główny plik, a pomocniczy proces dalej ma dostęp do sieci, efekt będzie połowiczny. Z tego wynika prosty wniosek: zanim dodasz regułę, sprawdź, czy chcesz odciąć jeden proces, całą usługę, czy cały host. To prowadzi prosto do wyboru właściwej metody.

Kiedy lepiej wybrać regułę programu, a kiedy port lub usługę

Tu najczęściej robię szybki podział, bo od niego zależy reszta konfiguracji. Jeśli blokada ma być precyzyjna, wybierasz program. Jeśli chcesz prostoty i stabilności, często wystarczy port lub usługa. To nie jest kosmetyczna różnica, tylko realnie inny model działania zapory.

Sytuacja	Najlepszy typ reguły	Dlaczego to działa	Ryzyko
Aplikacja ma nie łączyć się z internetem	Reguła programu lub procesu	Odcięcie jest najbliższe temu, co chcesz osiągnąć	Po aktualizacji może zmienić się ścieżka pliku
Chcesz zablokować tylko jeden protokół lub port	Reguła portu	Prosta i czytelna konfiguracja	Inny program może używać tego samego portu
Chcesz ograniczyć usługę serwerową	Reguła usługi	Łatwo ją utrzymać i opisać	Nie zawsze obejmuje wszystkie warianty aplikacji
Chcesz odciąć cały host od ruchu z zewnątrz	Strefa lub profil sieci	Najmniej pracy przy dużym ograniczeniu zaufania	Możesz zablokować także ruch, którego jednak potrzebujesz

Ja zwykle radzę tak: jeśli nie masz mocnego powodu, żeby schodzić na poziom procesu, zacznij od portu albo usługi. Reguły są wtedy prostsze, łatwiejsze do audytu i mniej podatne na to, że aktualizacja aplikacji coś zmieni. Gdy jednak zależy Ci na odcięciu jednej konkretnej binarki, Windows daje tu najwygodniejsze narzędzia, a w Linuxie trzeba podejść do sprawy bardziej technicznie.

Windows pozwala blokować program po ścieżce pliku

W Windows Defender Firewall najpraktyczniejsze jest to, że regułę możesz oprzeć na ścieżce do pliku wykonywalnego. To właśnie ten model najczęściej rozwiązuje problem użytkownika, który chce zatrzymać jedną aplikację, a nie cały port. Ja robię to w pierwszej kolejności przez interfejs graficzny, a dopiero potem sięgam po polecenia, jeśli trzeba wdrożyć regułę szybciej albo powtarzalnie.

Najprościej zrobisz to w oknie zaawansowanych reguł

Otwórz Windows Defender Firewall z zaawansowanym zabezpieczeniem.
Przejdź do Reguły wychodzące, jeśli chcesz zatrzymać połączenia do internetu.
Wybierz Nowa reguła i jako typ wskaż Program.
Podaj pełną ścieżkę do pliku `.exe`.
Wybierz Zablokuj połączenie.
Określ profil, na którym reguła ma działać: prywatny, publiczny lub domenowy.
Nazwij regułę tak, żeby po miesiącu nadal było wiadomo, czego dotyczy.

Jeśli chcesz odciąć aplikację od sieci tylko w określonym profilu, nie ustawiaj od razu wszystkich. To drobny szczegół, ale robi dużą różnicę w praktyce, zwłaszcza na laptopach używanych w domu i w biurze. Właśnie tu najczęściej pojawia się nieporozumienie: program działa w domu, ale przestaje działać w publicznej sieci, albo odwrotnie.

Gdy wolisz linię poleceń

Regułę programu da się też dodać z poziomu `netsh`. W prostym wariancie wygląda to tak:

netsh advfirewall firewall add rule name="Blokada programu - ruch wychodzący" dir=out action=block program="C:\Sciezka\Program.exe" profile=any

Najważniejsze elementy są tu trzy: dir=out oznacza ruch wychodzący, action=block blokuje połączenie, a program= wskazuje konkretną binarkę. Jeśli aplikacja korzysta z kilku plików wykonywalnych albo osobnego aktualizatora, zrób osobną regułę dla każdego z nich. W przeciwnym razie część ruchu może przejść bokiem.

Jeżeli potrzebujesz blokady tylko dla połączeń przychodzących, odwracasz kierunek reguły i tworzysz blokadę na dir=in. To nadal ten sam mechanizm, tylko inny kierunek ruchu. Taki rozdział jest istotny, bo w praktyce wiele osób blokuje nie to, co powinno, i potem szuka problemu w aplikacji zamiast w regule. Z Windowsa płynnie przechodzę wtedy do Linuksa, bo tam logika jest podobna, ale narzędzia są bardziej zróżnicowane.

Ustawienia zapory sieciowej: profil

W Linuksie blokada zwykle idzie przez port, usługę albo UID procesu

Na Linuksie nie myślę o „programie” tak samo jak na Windows. UFW i firewalld są wygodne, ale z zasady pracują na poziomie sieci, portów i usług. Jeśli chcesz zejść niżej, czyli blokować konkretny proces, najczęściej kończysz w nftables. To nie jest wada, tylko konsekwencja tego, że Linux daje kilka warstw kontroli, a nie jedną prostą nakładkę.

UFW sprawdza się, gdy aplikacja ma profil lub działa na konkretnych portach

UFW potrafi korzystać z profili aplikacji, ale te profile są zwykle mapą portów, a nie śledzeniem binarki po ścieżce. Dlatego najpierw sprawdzam, czy dany profil w ogóle istnieje.

ufw app list
ufw app info "Nazwa aplikacji"
ufw deny out "Nazwa aplikacji"

To działa sensownie tylko wtedy, gdy profil jest poprawnie zdefiniowany. Jeśli profil opisuje porty, dostajesz wygodną, czytelną regułę. Jeśli chcesz zablokować sam plik wykonywalny niezależnie od portów, UFW nie jest narzędziem idealnym. Ja traktuję go jako dobry wybór dla prostych maszyn, serwerów i desktopów, gdzie priorytetem jest szybka administracja, a nie precyzja na poziomie procesu.

Firewalld lepiej myśli o strefach niż o pojedynczych aplikacjach

Firewalld jest strefowy, więc z definicji lepiej nadaje się do zarządzania zaufaniem do sieci niż do blokowania jednej binarki. W jego logice ważniejsze są strefy, interfejsy i usługi. Strefy takie jak block i drop służą do mocnego ograniczenia ruchu, ale nadal nie oznaczają „zablokuj ten jeden program”.

Ja używam firewalld wtedy, gdy chcę ograniczyć cały interfejs, wybrany segment sieci albo usługę widoczną na porcie. Jeśli potrzebuję blokady aplikacyjnej, firewalld bywa tylko warstwą pośrednią, a nie finalnym rozwiązaniem. W dodatku trzeba pamiętać o różnicy między konfiguracją runtime i permanent - to, co działa od razu, nie zawsze przetrwa restart, jeśli nie zapiszesz reguły na stałe. Ten szczegół potrafi zaskoczyć bardziej niż sama składnia.

Przeczytaj również: Windows 11 - antywirus Defender wystarczy czy potrzebujesz więcej?

nftables daje najbliższy odpowiednik blokady procesu

Jeżeli naprawdę chcesz zablokować jeden proces, nftables daje najwięcej kontroli. Możesz oprzeć regułę o UID procesu, a w bardziej zaawansowanych scenariuszach także o cgroup. To już jest poziom, na którym firewall zaczyna zachowywać się jak narzędzie dla administratora, a nie tylko prosty panel do portów.

nft add rule inet filter output meta skuid 1000 drop

Ten przykład pokazuje ideę: ruch wychodzący od procesu przypisanego do konkretnego UID jest odrzucany. Jest to szczególnie użyteczne, gdy aplikacja działa jako osobny użytkownik systemowy albo w wydzielonej usłudze systemd. Jeśli proces działa jako root albo wspólny użytkownik dla kilku usług, reguła zrobi się zbyt szeroka. Wtedy lepiej oprzeć się na cgroup albo rozdzielić usługę na osobny konto systemowe.

Tu jest ważny niuans: nftables nie blokuje „nazwy programu” w próżni, tylko ruch związany z określonym kontekstem systemowym. Dzięki temu można osiągnąć precyzję, ale cena jest prosta - trzeba wiedzieć, jak aplikacja uruchamia się naprawdę. I właśnie to odróżnia skuteczną blokadę od konfiguracji, która wygląda dobrze tylko na papierze.

Jak sprawdzić, czy reguła działa i niczego nie zepsuła

Ja zawsze testuję blokadę od razu po jej dodaniu. Nie zakładam, że skoro reguła jest widoczna w panelu, to już działa. Często okazuje się, że aplikacja korzysta z innego profilu, innego procesu albo po prostu z IPv6, którego nikt nie uwzględnił.

Windows - sprawdź, czy reguła jest włączona, czy pasuje do właściwego profilu sieci i czy ścieżka programu jest dokładna.
UFW - użyj `ufw status numbered`, żeby zobaczyć kolejność i aktywność reguł.
firewalld - sprawdź aktywne strefy i to, czy reguła jest tylko runtime, czy już permanent.
nftables - wyświetl cały zestaw reguł i upewnij się, że trafiasz w właściwy łańcuch.
Test praktyczny - uruchom aplikację i sprawdź, czy połączenie kończy się błędem, timeoutem albo wpisem w logu.

Warto też wiedzieć, że różne typy blokady dają różny objaw. Drop zwykle wygląda jak zwieszenie połączenia i timeout, a reject kończy próbę szybkim komunikatem o odmowie. To przydatne przy diagnostyce, bo od razu widzisz, czy pakiet został odrzucony, czy tylko cicho porzucony. Jeśli po wszystkim aplikacja dalej działa, zwykle problemem jest zły kierunek, inny profil albo dodatkowy proces pomocniczy. To prowadzi do typowych błędów, których nie warto powtarzać.

Najczęstsze błędy, które sprawiają, że blokada nie działa

W praktyce widzę kilka powtarzalnych wpadek. Większość z nich nie wynika ze złej wiedzy, tylko z pośpiechu i zbyt dużego zaufania do domyślnych ustawień. Poniżej zbieram te, które psują efekt najczęściej.

Zły kierunek reguły - blokujesz ruch przychodzący, choć chciałeś zatrzymać wychodzący.
Niedokładna ścieżka programu - aplikacja uruchamia się z innej lokalizacji niż ta, którą podałeś.
Osobny proces pomocniczy - główna aplikacja jest zablokowana, ale updater albo helper nadal ma dostęp do sieci.
Inny profil sieci - reguła działa tylko w publicznej sieci, a Ty testujesz ją w prywatnej.
Konflikt z wcześniejszą regułą allow - starsza, bardziej ogólna reguła nadal przepuszcza ruch.
IPv6 zostało pominięte - aplikacja omija blokadę przez drugi stos adresacji.
Runtime zamiast permanent w firewalld - po restarcie wszystko wraca do poprzedniego stanu.

Ja szczególnie uczulam na dwa ostatnie punkty, bo są zdradliwe. Z użytkowego punktu widzenia wygląda to tak, jakby reguła „czasem działała”, a w rzeczywistości działa tylko w jednym profilu albo tylko do restartu usługi. Gdy to uporządkujesz, większość problemów znika od ręki. Zostaje już tylko kwestia wdrożenia bezpiecznego i odwracalnego rozwiązania.

Co zrobiłbym na koniec, żeby reguła była bezpieczna i łatwa do odwrócenia

Jeśli miałbym zostawić jedną praktyczną zasadę, byłaby prosta: najpierw test, potem trwała blokada. Na Windowsie i w firewalld ustawiam najpierw regułę tak, żeby łatwo ją było wyłączyć lub skasować, a dopiero po sprawdzeniu przechodzę do wersji docelowej. To oszczędza nerwy, zwłaszcza gdy blokujesz narzędzie używane do pracy.

Nadaj regule nazwę, która opisuje cel, a nie tylko techniczny parametr.
Sprawdź osobno profil prywatny, publiczny i ewentualnie domenowy.
Zweryfikuj IPv4 i IPv6, jeśli aplikacja potrafi używać obu stosów.
Jeśli pracujesz na Linuxie, rozdziel aplikację na osobnego użytkownika lub usługę, żeby reguła była czytelna.
Nie blokuj więcej niż trzeba, bo potem trudniej dojść, co naprawdę było potrzebne.

Najlepiej działa podejście warstwowe: na Windowsie blokujesz konkretny plik wykonywalny, na Linuksie zaczynasz od portu lub usługi, a gdy potrzebujesz większej precyzji, schodzisz do nftables i UID albo cgroup. To daje regułę, którą da się zrozumieć, utrzymać i bezpiecznie odwrócić, jeśli aplikacja nagle zacznie potrzebować ruchu sieciowego do działania.

FAQ - Najczęstsze pytania

Ruch wychodzący blokujesz, by program nie wysyłał danych do sieci (np. telemetrii). Ruch przychodzący odcinasz, gdy chcesz uniemożliwić zewnętrznym serwerom lub użytkownikom nawiązanie połączenia z Twoją aplikacją.

Najczęstsze przyczyny to błędna ścieżka do pliku .exe, działanie procesów pomocniczych, aktywny protokół IPv6, którego reguła nie objęła, lub konflikt z inną, nadrzędną regułą zezwalającą na ruch w systemie.

Standardowe narzędzia jak UFW działają głównie na portach. Aby zablokować konkretny proces, najlepiej użyć nftables i filtrować ruch po UID użytkownika, pod którym działa aplikacja, lub skorzystać z mechanizmu cgroups.

Zmiany runtime działają natychmiast, ale znikają po restarcie systemu. Opcja permanent zapisuje reguły na stałe, jednak wymagają one przeładowania usługi firewall-cmd, aby faktycznie zaczęły obowiązywać.

Oceń ten artykuł

Średnia: 0.0 / 5 · 0 ocen

Tagi

jak zablokować program w firewall jak zablokować program w firewallu linux blokowanie ruchu wychodzącego linux ufw

Jędrzej Czarnecki

Jestem Jędrzej Czarnecki, specjalizującym się w systemach Linux, bezpieczeństwie oraz oprogramowaniu. Od ponad dziesięciu lat analizuję rynek technologii informacyjnych, co pozwoliło mi zdobyć dogłębną wiedzę na temat najnowszych trendów oraz najlepszych praktyk w tych dziedzinach. Moje doświadczenie obejmuje również pracę jako redaktor, gdzie koncentruję się na uproszczeniu skomplikowanych zagadnień technologicznych, aby były one zrozumiałe dla szerokiego grona odbiorców. W mojej pracy dążę do dostarczania rzetelnych i aktualnych informacji, które pomagają czytelnikom podejmować świadome decyzje. Wierzę, że obiektywna analiza i dokładne sprawdzanie faktów są kluczowe w budowaniu zaufania wśród moich odbiorców. Celem moich publikacji jest nie tylko edukacja, ale również inspirowanie do eksploracji i korzystania z możliwości, jakie oferuje współczesna technologia.