Firewall "vergisst" die Regeln

pb-titanium

Mitglied
Thread Starter
Dabei seit
25.11.2006
Beiträge
70
Reaktionspunkte
2
Guten Tag liebe Mac Gemeinde.
Bin seit einigen Monaten stolzer Besitzer eines (gebrauchten) Powerbooks (siehe Username) und wühle mich seitdem durch die verschiedensten Foren um nicht allzu dumm vor der Kiste zu sitzen.
Der Mac ist ja stellenweise doch etwas anders als die DOSen.

Nun habe ich mich schon durch die verschiedensten Freds gewühlt, aber leider keine passende Antwort auf meine Frage gefunden.

Wie bringe ich meinem Notebook bei, dass es die von mir per terminal erstellten Firewallregeln auch NACH dem nächsten Neustart noch im Kopf hat?

Jedes Mal, wenn ich nach einem Neustart "ipfw list" ausgeben lasse, stehen dort wieder die voreingestellten(?) Regeln drin.

Über eine knappe Antwort, wo denn diese Einstellung zu tätigen ist, würde ich mich freuen.

Dank und Gruß,
Ralf


(ach ja, OS ist 10.4.8)
 
Gibt ne einfache Lösung .. pb nicht neustarten .. gibt ja auch nicht wirklich einen Grund dazu ausser Sys Updates .. klingt blöd ist aber so.
 
Hallo hoppelmoppel,
danke für die Antwort. Ist zwar eine einfache aber nicht wirklich saubere Lösung, wie ich finde.

Irgendwer ne Idee, wie ich meinem "Problem" Beine machen könnte, auch ohne dass ich Programmierer bin?

Gruß,
Ralf
 
du kannst doch alles was du im terminal eingibts auch in ein skript schreiben und das beim booten starten lassen... oder? bei linux geht das auf jeden fall, müsste bei mac os eigentlich auch, hab aber keine ahnung wie, weil ich lange kein terminal mehr benutzt hab ;)
 
Du schreibst die Firewall-Regeln in einen Skript und lässt ihn mittels launchd beim Booten ausführen.
 
Danke für die Tipps mit den Scripts.
Diese zu schreiben und ans laufen zu bringen übersteigt aber wohl meine Computerkenntnisse.
Vielleicht gibt's ja noch eine (für mich) einfachere Lösung, ansonsten werde ich mit der OS X eigenen FW leben müssen. (was ja auch nicht das Schlechteste ist)

Gruß,
Ralf
 
Wenn dir dieser Launchd-Kram zu schwierig ist,
nimm ein StartupItem:

Code:
mkdir /Library/StartupItems/ipfw-regeln
pico /Library/StartupItems/ipfw-regeln/ipfw-regeln

mit dem Editor pico schreibst du folgendes in die Datei:
Code:
#!/bin/sh

if [ -z $1 ] ; then
		echo "Usage: $0 start"
		exit 1
fi

. /etc/rc.common
		
StartService()
{
<Hier kommen die ipfw-Regeln rein>	
}

StopService()
{
<Hier koenntest du Regeln einsetzen, die ausgefuehrt werden sollen,
wenn der Rechner heruntergefahren wird. Leer lassen sollte aber
auch kein Problem sein.>
}

RestartService()
{

}


RunService "$1"

Dann speicherst du den Text im Editor, und passt die Zugriffsrechte an:
Code:
chown -R root:wheel /Library/StartupItems/ipfw-regeln
chmod u+x /Library/StartupItems/ipfw-regeln/ipfw-regeln

Nach einem Neustart des Systems sollten die Firewallregeln nun
ausgefuehrt werden. Ich bin mir allerdings mit meiner oben ge-
posteten Anleitung nicht 100% sicher, da ich z. zt. nicht an mei-
nen eigenen Rechner kann, es sollte aber funktionieren.
 
Hallo moses_78,

da hast Du die viel Mühe gemacht, danke dafür.
Ich hab getan wie mir geheissen, jedoch - den Mac interessiert es nicht. :-(

Hier mal meine fertige Datei:

#!/bin/sh

if [ -z $1 ] ; then
echo "Usage: $0 start"
exit 1
fi

. /etc/rc.common

StartService()
{
02000 allow ip from any to any via lo*
02010 deny ip from 127.0.0.0/8 to any in
02020 deny ip from any to 127.0.0.0/8 in
02030 deny ip from 224.0.0.0/3 to any in
02040 deny tcp from any to 224.0.0.0/3 in
02900 xxxx
02910 xxxx
02990 xxxx
02991 xxxx
03000 xxxx
03010 xxxx
04000 xxxx
04010 xxxx
04040 xxxx
04050 xxxx
04060 xxxx
04070 xxxx
65534 deny ip from any to any
65535 allow ip from any to any
}

StopService()
{

}

RestartService()
{

}


RunService "$"


Irgendwo ein Fehler? (anstelle der xxxx steht natürlich was anderes drin)
Wird diese Datei vor oder nach der OS eigenen FW gestartet? Irgendwie scheint diese die Datei zu ignorieren oder die Werte wieder zu überschreiben.
Very strange, isn't it?

Gruß,
Ralf
 
1. Stelle den Firewallregeln erstmal ein "ipfw flush" voran, damit die
alten Regeln geloescht werden.

2. Wie waere es, wenn du, anstatt nur der Regel, den ganzen Befehl
eingibst? Also "ipfw add <Befehl>"

3. Stelle sicher, dass der Standardfirewall von OSX deaktiviert ist. Wenn
der Firewall von OSX aktiviert ist, und seine Regeln *nach* deinen Fire-
walregeln anwendet, werden sie natuerlich ueberschrieben.

4. Kann sein, dass du das Prinzip der StartupItems nicht ganz verstanden
hast. StartupItems sind nicht fuer Firewallregeln konzipiert, sondern um
Daemonen beim Systemstart zu starten. Diese Variante ist eher ein Hack,
und es sollte irgendwo eine Datei geben, die fuer ipfw gedacht ist, und in
der man dann auch nur die Regel eintragen muss....
 
Zuletzt bearbeitet:
Hallo moses_78,
keine Chance, das Biest wehrt sich erfolgreich. Mit "handelsüblichen" Mitteln komme ich wohl nicht ans Ziel meiner Wünsche.

Hab aber eine interessante Webseite gefunden, in der beschrieben steht wie es ginge. (so man könnte)
http://www.macdevcenter.com/pub/a/mac/2005/03/15/firewall.html?page=1

Ich werd mir das mal zu Gemüte führen und mich da vielleicht mal dranwagen. (und anschließend das System neu aufsetzen) ;-)
Nicht dass ich unbedingt ne bessere FW bräuchte, aber etwas Feintuning könnte schon noch sein.

Danke nochmals für die Hilfe, Gruß,
Ralf
 
Kurzes Feedback:
Die Kiste läuft jetzt so, wie ich es mir vorgestellt habe.
Dank an die mug-kassel. (auf deren Webseite ist ne detalierte Anleitung zu finden)

Gruß,
Ralf
 
moses_78 schrieb:
Hervorragender Artikel, macht aber Essentiell das Gleiche wie meine
Anleitung.

Das denke ich auch, weiss nur nicht wieso ich nach deiner Anleitung keinen Erfolg hatte. Das herauszubekommen, dazu fehlt mir allerdings das Hintergrundwissen.
Wie auch immer, es läuft wie ich es mir vorgestellt habe, und allein das zählt letztendlich.

Danke dir nocheinmal für die Hilfe, Gruß,
Ralf
 
pb-titanium schrieb:
Wie bringe ich meinem Notebook bei, dass es die von mir per terminal erstellten Firewallregeln auch NACH dem nächsten Neustart noch im Kopf hat?

Jedes Mal, wenn ich nach einem Neustart "ipfw list" ausgeben lasse, stehen dort wieder die voreingestellten(?) Regeln drin.

Du kannst auch mal WaterRoof probieren, das ist eine GUI für ipfw, u.A. mit der Möglichkeit, ein Startup-Script zu erstellen.

Ciao
Helge
 
Zurück
Oben Unten