Firewall OS X - Das kann sie wirklich

lokhi schrieb:
Soviel ich weiss greifft Brickhouse auch auf die ipfw zu. Ist es dann besser mit dieser Gui die Firewall zu konfigurieren?
Ja, Brickhouse ist nur ein frontend für die ipfw.
Macht im Ergebnis keinen Unterschied, wie man die Regeln erstellt.
Ich selbst ziehe die Konfiguration auf der Kommanodzeile vor.
Ist aber ein Frage der perönlichen Vorlieben.

@michanismus
mails versenden is aber mit Deiner Config nicht, oder ?

Die Einstellungen unter "# disable ms office spying" könntest Du evtl. mal ein weing erläutern.
 
Zuletzt bearbeitet:
disable ms office spying würde mich auch interessieren... :D
 
Wo sind die Konfigurationsdateien für IPFW und NAT?

Moin,
habe versucht, den ganzen thread samt Vorläufer zu lesen und zu verstehen. Sehr lehrreich das ganze. Ein paar Fragen finde ich allerdings nicht beantwortet. Schlagt mich, wenn ich sie übersehen habe.

OSX benutzt die *BSD firewall ipfw und sowohl das Knöpfchen in den Systemeinstellungen von OSX, als auch Brickhouse, Sunshield und Little Snitch sind GUIs für die Konfiguration von ipfw - fein. Wie aber können die Teile coexistieren? Wenn ich Little Snitch oder Sunshield aktiviere, sagt die OSX Systemeinstellung weiterhin, sie wäre nicht aktiviert. Woran macht OSX fest, ob ipfw läuft? Welche Konfigurationsdateien legt wer wo ab?
Wenn ich ipfw über OSX starte, taucht kurz ein Prozess firewallto.. in top auf und verschwindet wieder. Wo isses denn dann? Teil der Kerneltask?

Ähnliche Fragen stellen sich mir, was die gateway/router/Internet sharing Funktionalität angeht. Einmal geht das über die Systemeinstellungen von OSX (Internet Sharing), zum anderen gibt es aber auch Knöpfchen in Sunshield und Brickhouse. Ich nehme an, dass NAT/IP-masquerading immer über natd läuft? Wenn ich mir man natd anschaue, dann sollte es eine log Datei in /var/log/alias.log geben. Hab ich nicht. Immerhin finde ich - wie beschrieben - unter Jaguar eine natd.conf in /etc, nicht aber unter Panther.

Generell kommt es mir ja sehr entgegen, wenn es GUIs zur Konfiguration von ipfw und natd gibt, allerdings verunsichert es mich ein wenig, dass ich nicht genau weiss, ob es Konflikte mit den OSX-eigenen "Knöpfchen" gibt/geben kann. Brickhouse ist ja ganz ansprechend, aber die letzte Version ist von 2001 für 10.1? Hat sich bis Panther nichts geändert?
 
lupusoft schrieb:
...
OSX benutzt die *BSD firewall ipfw und sowohl das Knöpfchen in den Systemeinstellungen von OSX, als auch Brickhouse, Sunshield und Little Snitch sind GUIs für die Konfiguration von ipfw
Little Snitch ist mW von der ipfw unabhängig.
lupusoft schrieb:
...
- fein. Wie aber können die Teile coexistieren? Wenn ich Little Snitch oder Sunshield aktiviere, sagt die OSX Systemeinstellung weiterhin, sie wäre nicht aktiviert. Woran macht OSX fest, ob ipfw läuft? Welche Konfigurationsdateien legt wer wo ab?
Dateien? lieber nicht! Die Systemeinstllungen wissen nichts von der manuellen Konfiguration.
na ja; fast nichts. Sowie Du zB. per Kommanozeile was eingestellt hast, verweigert "Systemeinstellungen>Sharing>Firewall mit einer etwas diffusen Fehlermeldung den Dienst;
Gut so, sonst weiss man am Ende gar nicht mehr welche Regeln eingestellt sind.
 
maceis schrieb:
Little Snitch ist mW von der ipfw unabhängig.
Stimmt, mein Fehler. Ich habe seit gestern so viele Teile auf verschiedenen Rechnern installiert und deinstalliert, dass ich schon völlig durch den Wind bin. Witzigerweise hab ich gerade vor deiner Antwort nochmal das kleine Tutorial auf deiner HP gelesen und ein ipfw list bei eingeschaltetem Little Snitch probiert. Tatsächlich ist da nix (65535 allow ip from any to any) an Filtern. Unter Nicht-ipfw firewalls hatte ich nur noch FireWalkX abgespeichert...
maceis schrieb:
Dateien? lieber nicht! Die Systemeinstllungen wissen nichts von der manuellen Konfiguration.
Mmh, und was heisst das in der Konsequenz? OSX bastelt sich die Filter nach jedem Neustart neu zusammen (wenn die fw aktiviert ist)? Zumindest Brickhouse legt doch Konfigurationsdateien an, oder?
 
Hallo
erstmal möchte ich schreiben, dass ich es immer mag, wenn es auch Themen im Forum gibt, die wirklich GEHALT haben.
Jetzt der Haken: ... in diesem Fall für mich zu viel Gehalt :)
Kann man mir, als nicht ganz so tief in die Firewallszene eingedrungenen macuser, das auch in einfachen Worten erklären, wie ich ne Firewall effektiv einsetze!?
Oder ist für mich dann ne Software, wie z.B. die Norton Firewall besser?
Sorry, ich steh grad mächtig aufm Schlauch :) ...too much information!

Gruß MacFighter
 
macfighter schrieb:
Hallo
erstmal möchte ich schreiben, dass ich es immer mag, wenn es auch Themen im Forum gibt, die wirklich GEHALT haben.
Jetzt der Haken: ... in diesem Fall für mich zu viel Gehalt :)
Da muss man durch :)
macfighter schrieb:
Kann man mir, als nicht ganz so tief in die Firewallszene eingedrungenen macuser, das auch in einfachen Worten erklären, wie ich ne Firewall effektiv einsetze!?
Das ist nicht so einfach, da es sehr stark von Deiner Umgebung (LAN, Einzelplatzrechner, Internetzugang mit Router oder Direktzugang mit Modem, eingesetzte Software etc.) abhängt.
Eins muss man ganz klar sagen:
Sicherheit auf Knopfdruck gibt es nicht, absolute Sicherheit auch nicht.

Wenn Du die Firewall in Mac OS X einfach nur aktivierst, ohne etwas zu verändern, ist das für den "Standarduser" nicht schlecht vorkonfiguriert.
on innen nach außen ist alles erlaubt.
TCP-Verbindungen von außen nach innen werden nur dann durchgelassen, wenn Sie die Antwort auf eine Anfrage sind, die Du von innen gestartet hast.
(z. B. darf Dir den Webserver die Seite hereinschicken, wenn Du im Browser www.macuser.de eingegeben hast oder Du darfst Deine emails abrufen, wenn Du im Emailprogramm auf "Empfangen" klickst).

macfighter schrieb:
Oder ist für mich dann ne Software, wie z.B. die Norton Firewall besser?
Auf keinen Fall.
Warum?
1. Wer konfiguriert die?
2. Wenn Du Lust auf noch mehr Gehalt hast, lies das hier:
Warum Desktop Firewalls nix taugen



HTH
 
Ich hab mich nun durch dem Anfangsthreat und diesem Folgethreat duchgearbeitet *schnauf*

Auf die frage einer Applikations Firewall, für Mac OS X wurde hier aber eigendlich zuwenig eingegeangen.

Mir fehlt für meinem Mac imo eine Kontrolle der ausgehenden Daten. Sicherlich kann man den Netzverkehr mit UNIX mitteln mitloggen, und so auch Aktivitäten runtergeladener Share-, Freeware im nachhinein mitbekommen.

Das ist mir aber zu spät. Ich lasse mich nicht gerne ausschnüffeln, und sei es von iTunes wenn ich meine CD´s Rippe und Archiviere.

Ich weiss das Application Firewalls auch ausgetrickst werden können, und so Sicherheit vortäuschen können bla blub. Diese Diskussuion wird in verschiedenen Sicherheits Firewall Foren schon lange geführt.

Aber die Haupt Frage ist immer noch nicht beantwortet worden.

/FRAGE, gibt es eine Application Firewall für Mac, wenn möglichst kostenfrei, die es mir erlaubt Programmen gezielt, das nach Hause Telefonieren, zu verbieten./FRAGE ENDE

Bitte einfach mal diese Frage mit einem Programmnamen, oder nein beantworten :D

/kommentar
Irgendwie verwursteln sich diese Threats in diesem Forum immer auf seltsame weise, tolle Erklärungen, um die keiner gebeten hat ^^ (wenn auch Intressant), aber keine einfachen Antworten :)
/kommentar ende
 
besten dank für das posting - das war glaub ich auch meine ausgehende frage bzw. der grund den thread zu erstellen :) auch wenns keine antwort ist und ich jetzt spammer of the day bin:

einfach mal /agree to this posting :D
 
@xlqr Danke für die flotte Antwort, werde ich mir mal ansehen.

MfG Andreas
 
Hi, little Switch ist super duper cool.

einfach bei warnungen je nach dem ;) auf allow oder deny every connection forever...

g
 
was meiner meinung an der standard mac os fw schlecht ist, ist das es udp einfach ignoriert, bzw. garnicht daran denkt.
und das sie die möglichkeit der stateful fw nicht nutzt.

denn wie hier schon oft gesagt bietet ipfw mehr. :)D wie man merkt komme ich von FBSD)

nur um mal ein bsp. zu nennen, hier sind meine client fw rules

Code:
00200 allow ip from any to any via lo*
00301 deny log ip from 127.0.0.0/8 to any in
00302 deny log ip from any to 127.0.0.0/8 in
00303 deny log ip from 224.0.0.0/3 to any in
00304 deny log ip from any to 224.0.0.0/3 in
00401 check-state
00402 allow tcp from any to any keep-state out setup
00403 allow udp from any to any keep-state out
00404 allow icmp from any to any keep-state out
02000 deny log ip from any to any
65535 allow ip from any to any

diese rules schotten den client von außen total ab, bis eine verbindung von innen aufgebaut wird (bzw. bei udp und icmp ein paket von innen abgeschickt wurde.)
 
Man merkt, dass Du aus der FBSD-Ecke kommst, ja :D

Aber Du hast schon Recht. Auf meiner Internetseite habe ich mal ein Firewallscript mit IPTABLES hinterlegt. Da ist ein ähnliches Regelwerk drin, wie Du es beschrieben hast.

Zudem auch noch einige (auch unsinnige) Regelwerke drin, für bestimmte Dienste. Diese müssen aber grundsätzlich von Innen angestoßen werden, sonst geht da garnix.

Nachtrag: IPTABLES läuft leider nicht auf dem Mac, leider...
 
Zuletzt bearbeitet:
Tolle Infosammlung!

Um zu prüfen was von außen kommt ist z.B. HenWen gut geeignet.
Ihr könnt euch auch Warnen lassen wenn von "drausen" jemand nen Portscan versucht und vieles mehr. Das Beste es ist OpenSource.

Gruß

Nicolas
 
Ich nöchte garnicht wissen, wenn ein Portscan bei mir läuft. Meine Firewall macht nach mehr wie 150 Paketen aus dem selben Netz zu und speert die IP :D
 
naja leider läuft kein pf auf dem mac. das ist geil :D
bin mit meinem FBSD auch gerade von ipfw auf pf umgestiegen (pf stammt aus OBSD)
 
NicolasX schrieb:
Tolle Infosammlung!

Um zu prüfen was von außen kommt ist z.B. HenWen gut geeignet.
Ihr könnt euch auch Warnen lassen wenn von "drausen" jemand nen Portscan versucht und vieles mehr. Das Beste es ist OpenSource.
...
HenWen ist gut, aber wie reagierst Du, wenn jemand einen Portscan macht?
 
---- sorry eingabefehler -----
 
Zurück
Oben Unten