Little Snitch nur Lokal erlauben

[wetwater]

Hallo Macuser

habe folgende Konfiguration: 5 Rechner (IP: 10.0.0.1 -10.0.0.5) hängen an einem Router mit DSL Modem (IP: 10.0.0.99).

Ich möchte nun Litttle Snitch so einrichten, dass eine bestimmmte Software zwar auf die lokalen Rechner im Netz zugreifen kann, jedoch nicht ins Internet über den Router einwählt. Wie kann ich das in Litttle Snitch oder einer anderen Firewall explizit für eine Software einstellen?

Danke im Voraus


wetwater

 

[Lace]

Ich denke Du könntest höchstens mit der eingebauten Firewall (ipfw) der einzelnen Rechner zuerst den Zugriff auf das lokale Subnet erlauben, um dann in der nächsten Regel den Zugriff auf alle anderen IPs mit dem Zielport der Anwendung zu verbieten.
So etwas könnte man auch in einem teureren Router konfigurieren, aber nicht mit einem günstigen DSL Router.

man ipfw

Beispiel für DNS (Port 53)

ipfw flush # Alle bestehenden Regeln löschen
ipfw add allow ip from any to 10.0.0.0/8 # im lokalen Netzwerk alles zulassen
ipfw add allow ip from 10.0.0.0/8 to me # im lokalen Netzwerk alles zulassen
ipfw add deny log tcp from any to any 53 setup # Sonstigen Verkehr zum Zielport 53 sperren (tcp)
ipfw add deny log udp from any to any 53 # Sonstigen Verkehr zum Zielport 53 sperren (udp)
ipfw add allow ip from any to any # Ansonsten alles zulassen


Regeln ansehen

ipfw list

Durch den Zusatz "log" kannst Du im Log die verweigerten Verbindungen sehen.

tail /var/log/ipfw.log

 

[wetwater]

Das geht leider nicht, da ich so nur Portweise verbieten kann. ich will das aber für die jeweilige Software verbieten. Unter WinXP kann das Sogar Zonealarm oder Kerio

 

[Lace]

Dann kauf Dir Windows.

Jede Netzwerkanwendung hat Listen Ports. BSD gibt Dir die Werkzeuge um Datenverkehr auf einer allgemeinen Basis zu konfigurieren, unabhängig von Programmen. ipfw kann mehr als Kerio oder Zonealarm. Aber natürlich kann man auch für jeden **** ein eigenes Tool benutzen.

ipfw kann unter anderem:
Dynamic Rules (Stateful Packet rules)
Traffic Shaping
Bridging
Port Forwarding
Traffing delay
Traffic Priorisation
Traffic Load Balancing
Packet teeing (Packetkopien)

aber man könnte ja was lernen.

Mann Mann Mann, da hat man das leistungsstärkste Netzwerkbetriebssystem unter dem *rsch und schreit nach den bunten Knöpfis, anstatt mal eine der hervorragenden Manualpages zu lesen.

Perlen für die Säue, sag ich nur....

 

[sunni]

Dann kauf Dir Windows.
...

aber man könnte ja was lernen.

Mann Mann Mann, da hat man das leistungsstärkste Netzwerkbetriebssystem unter dem *rsch und schreit nach den bunten Knöpfis, anstatt mal eine der hervorragenden Manualpages zu lesen.

Perlen für die Säue, sag ich nur....

anderer seits könnte man sagen, dass es unter windows einfacher zu konfigurieren ist, als unter macos x. und wer sich im terminal nicht auskennt, braucht ein passendes programm.

 

[Lace]

anderer seits könnte man sagen, dass es unter windows einfacher zu konfigurieren ist, als unter macos x. und wer sich im terminal nicht auskennt, braucht ein passendes programm.

Das ist nicht richtig. Unter Windows kann man die Fähigkeiten des Systems in Punkto Firewall ohne zusätzliche Tools nur in geringem Maße ausnutzen, eine mitgelieferte Dokumentation sucht man vergebens.

Unter MacOS X ist alles vorhanden, inkl. guter Dokumenation.

Das Problem ist nicht das System, sondern der fehlende Wille ein paar Zeilen zu lesen !

 

[wetwater]

Also lace es gibt sicher auch ein paar Dinge in deinem Leben, bei denen du dich nicht so gut auskennst und mit denen du dich auch nicht großartig auseinader setzen willst, oder. (und da bist dann du die Sau!!!!)

Und so geht es mir nun mal damit.

Ich bin kein Terminal-User. ich liebe es am Mac eben so selten wie möglich Dinge mit der Tastatur steuern zu müssen. Und früher dachte ich immer nur: "Arme Dos-Schweine". Natürlich nehme ich kein Windows, warum auch. Das war nur ein Vergleich , wie ich mir das ganze unter OS X vorstelle. Und eins weiß ich jetzt immer noch nicht. Kann ich mit der OS X- Firewall nun nur Ports und Range sperren oder dies auch expliziet für eine bestimmte Applikation tun. Wenn nicht bringt mir das nämlich überhaupt nichts.

 

[wetwater]

P.S.

Dass sich manche Leute gleich so angegriffen fühlen, wenn man mal was gegen Apple sagt.


Soll ich dir mal sagen, was ich an Apple scheiße find:

Scheiß Netzteillüfter in meinem G5
Kein zweiter Laufwerksschacht in einem 2500 € Rechner
Grundkonfiguration mit 265MB Ram (der Lacher schlechthin)
Preise für Mac Grafikarten 4x Höher als für Windowsversionen.
Unglaublich hohe preise für Ipod Batterietausch
u.v.m.

Für mich sind das Dinge, die bei vielen anderen Firmen nicht vorkommen und die find ich richtig scheiße und jeder PC Nutzer, der mir eins der Dinge oben aufzählt hat einfach nur recht. Deswegen will ich aber trotzdem keinen PC nutzen.

Aber zum Tolerant sein fehlt es halt manchen an Reife

 

[Lace]

und da bist dann du die Sau!!!!

Es ist nur ein Sprichwort.

Kann ich mit der OS X- Firewall nun nur Ports und Range sperren oder dies auch expliziet für eine bestimmte Applikation tun.

http://www.obdev.at/products/littlesnitch/docu/docu.html

Little Snitch allows all traffic in local networks. You can change this behavior by editing the rules for "local network". All network interfaces are automatically detected also airport and ppp modem conections.

Also einfach eine Deny Regel anlegen, die lokalen Netzwerke sind NICHT betroffen.

Das Prinzip von little snitch ist wie das von ipfw, die Regeln werden nach einer Reihenfolge abgearbeitet, die erste die greift wird genommen.

 

[Lace]

Dass sich manche Leute gleich so angegriffen fühlen, wenn man mal was gegen Apple sagt.

Ich habe ein Problem damit, wenn die Leute was wollen aber nicht bereit sind zuerst mal RTFM zu beherzigen. Denn Tipp von gerade habe ich FÜR DICH nachgelesen, in der Online Anleitung von Little Snitch natürlich.

Lesen bildet ungemein, Du sitzt vor einem System das diesen Grundsatz besser beherzigt als jedes andere. Sei froh das es so ist.

 

[wetwater]

"Den Tipp hab ich für dich nachgelesen"

Geh doch endlich schlafen verdammt. Hier zwingt dich doch niemand mir Antworten zu geben. Soll ich dir etwa dankbar sein für den Scheiß den du mir da schreibst. Auf der Seite bin ich die letzten 90 Minuten unterwegs gewesen und hab eine Lösung für mein Problem gesucht. Und jetzt such ich hier weiter. Wenn du keine Lust hast mir zu helfen und so altklug daherkommst dann lass es doch bitte einfach sein. Alle anderen können gerne Ihre Vorschläge hier kundtun, aber von dir Lace würde ich gerne nichts mehr hören .

Danke

 

[Lace]

Auf der Seite bin ich die letzten 90 Minuten unterwegs gewesen und hab eine Lösung für mein Problem gesucht.

Die Dokumentation von LS ist auch irrsinnig lang. Es steht halt ganz am Ende.

Wärend meiner Ausbildung, kurz vor der Prüfung, hat uns unser Ausbildungleiter eine Schreibmaschinenseite mit Aufgaben gegeben. Er sagte uns, wir sollen das machen was auf dem Blatt steht.
Auf dem Blatt waren eine Unmenge von zeitaufwendigen Aufgaben. Wir verbrachten fast eine Stunde mit deren Bearbeitung.
Am Schluss angekommen stand da: "Bitte legen Sie den Stift beiseite. Sie brauchen die oben genannten Aufgaben nicht lösen. Melden Sie sich beim Ausbildungsleiter und sagen Sie das sie fertig sind.".
"So , " sagte unser Ausbildungsleiter danach "jetzt habt Ihr gelernt das ihr erst gründlich lest, bevor ihr anfangt."

Weist Du, schon immer wurde man im Internet eher unsanft auf RTFM aufmerksam gemacht. Zurecht. Heute wird man angemacht, wenn man die Leute darauf aufmerksam macht. Spassgesellschaft halt. Da bleib ich lieber altmodisch

 

[wetwater]

Die Dokumentation von LS ist auch irrsinnig lang. Es steht halt ganz am Ende.


Tja, das dauert halt, wenn man alles verstehen will. Mein Problem war nicht das ich nicht weiß was ich machen muss, sondern dass es nicht funktioniert.
Und warum bitte hast du eigentlich eine Ausbildung gemacht, dass kann man doch sicher auch alles nachlesen. Am besten fände ich es ja, wenn du ab sofort auf jeden Beitrag antwortest ob denn der Fragende auch schon versucht hat das Problem selbst zu lösen. (Wieso gibt es eigentlich in jedem größeren betrieb einen EDV Beauftragen, oder Systemadministrator. Es gibt doch Handbücher. Wieso repariere ich eigentlich das Getriebe in meinem Auto nicht selbst steht sicher auf http://www.getriebselberreparieren.de

Meiner Meinung nach soll man einfach die Finger von der Tastatur lassen, wenn man jemandem nicht helfen will. Mich kotzt das nicht an, wenn jemand zu blöd ist seine Monitor anzumachen und das hier als Problem reinpostet. Wenn ich lustig bin und Bescheid weiß, dann antworte ich, wenn nicht, dann eben nicht. Aber sich so über jemanden zu stellen ohne zu wissen, was der Andere weiß oder bereits unternommen hat find ich einfach frech und völlig unnötig.

 

[Lace]

Naja, dafür das ich Dir ja gar nicht helfen will, hast Du jetzt eine Menge Tipps bekommen. Wenn das mit Little Snitch wirklich nicht klappt, dann wirst Du wohl zwangläufig auf ipfw eingehen müssen. Selbst ein besserer Router erfordert dieselben Kentnisse, die Du zur Konfiguration von ipfw brauchst. Wenn Du ipfw konfigurieren willst, weil es anders nicht geht, dann kannst Du dazu

http://personalpages.tds.net/~brian_hill/brickhouse.html

Brickhouse verwenden. Das einmal erstellte Startup Item kannst Du ja dann auf alle andere Rechner kopieren.

Wie gesagt, Du blockierst eine Anwendung, indem Du den Zugriff auf bestimmet Ports im Internet verbietest die die Anwendung ansteuert. Welche Ports das sind, ist von Anwendung zu Anwendung verschieden, das mußt Du nachschauen. Einfach bei Google mal den Namen der Anwendung und "Port" eingeben.

 

[wetwater]

Du scheinst echt nicht zu verstehen um was es mir geht.

Software A soll auf Port 450 zugreifen können und Software B eben nicht.
Und wenn ich den Port 450 mit irgendeiner Firewall blockiere dann hat Software A ein Problem. Und eine solche Lösung kommt für mich nicht in Frage.
Und ich finde es schade, dasss es gerade auf dem Mac solche Probleme macht eine Software zu finden, die das zustande bringt.