Welche ist die beste Firewall für OSX???

[asg]

Servus.

Original geschrieben von maceis
Es gibt Unix-Filesytsemflags, die eine Datei nur lesbar machen oder zB nur das Anhängen von Daten erlauben.
Aber die kann root ja ändern - da beisst sich die Katze selbst in den Schwanz.

Ok, habe mich falsch ausgedrückt. Ich meinte damit die Verbindung der flags mit einem hohen securelevel. Dann ist es nichtmal mehr roor möglich die Datei zu ändern. Interessant für die history von root. Es kann angehängt werden, ein vermeintlicher Hacker wird sich aber die Zähne daran ausbeissen diese zu löschen.

Na dann probiers aus
einen Unterschied habe wir ja schon gefunden (deine Datei mit den Regeln hast Du unter Mac OS X nicht gefunden)

Von daher gehe ich davon aus, das man die Regeln auch via rc Script, bzw. eben den StartUpItems aktivieren kann.

Könnte es nicht sein, dass OS X anders vorkonfiguriert ist, als FreeBSD ???
Der Witz ist, dass sie nicht als Prozess läuft, der von einem "bösen" Datenpaket abgeschossen werden kann, wie das anscheinend bei ZoneAlarm, NortonPeronalFirewall und solchen geht (hab ich zumindest so gelesen). [/B]

Durchaus ist es andere konfiguriert als FreeBSD. Keine Frage. Alles 1:1 zu übernehmen wäre ja auch zu schön ;-).
Was diese PersonalFirewalls angeht, vollkommen richtig, das sind Prozesse ausserhalb des Kernelspace im Userland. IPFW hingegen läuft im Kernel (da könnten dann wieder Zungen behaupten das es dann den ganzen Kernel runterreissen könnte...), bzw. wird als Modul geladen.

 

[asg]

Original geschrieben von maceis
wo es gerade so schön zum Thema passt.
Da finde ich doch heute früh folgende Einträge in meinem ipfw.log, die mir ein wenig unverständlich sind.
Da hat also einer erstmal auf meinen Webserver zugegriffen - okay, darf er ja
Doch jetzt kommt das große Fragezeichen:
Warum sehe ich den Zugriff nicht so wie alle anderen in meinem hhtpd/access_log ?
Außerdem versucht er verschiedene Zugriffe auf meinen ftp-Server - ätsch - Firewall blockt das.

Wie ist denn das logging Deines webserver konfiguriert?

Was jetzt kommt, blick ich aber gar nicht mehr
Seh ich den Zugriff auf Port 25 smtp; okay also ins postfix-log geschaut:
Ähm - wie kann sich der als 127.0.0.1 verbinden ?
Das ist doch localhost.
und da gibt es doch zwei Regeln in meiner ipfw:

Machst Du NAT von aussen nach innen?
Zumal es jedem erlaubt sein sollte auf Deinen SMTP Port zu connecten, in wie weit er dann Deinen Mailserver nutzen kann (open relay) ist eine anderen Sache.
Probier doch mal von aussen vie telnet auf Deinen mailserver zu connecten und beobachte dabei Deine IPFW log und das log Deines Mailservers.

Sollte ja so aussehen:

May 12 12:13:47 briefzentrum postfix/smtpd[24327]: connect from mx2.freebsd.org[216.136.204.119]
May 12 12:13:48 briefzentrum postfix/smtpd[24327]: 378EA1DF9F: client=mx2.freebsd.org[216.136.204.119]

Warum verbietest Du localhost, sprich 127.0.0.1 alles?

 

[maceis]

Original geschrieben von asg
Wie ist denn das logging Deines webserver konfiguriert?

 
Standard: alle Zugriffe von aussen gehen in das access_log, Fehler in das error_log -
Ich seh auch alle anderen Zugriffe von aussen
könnte noch ein Knick in den NameVirtualHost Directiven sein - hab ich aber schon gecheckt -> Fehlanzeige.
Hab überhaupt viele Angriffe auf meinen Apachen, aber bisher ist keiner durchgekommen.
neulich hatte ich das hier:

[Mon May 10 12:10:44 2004] [error] [client 195.231.147.10] File does not exist: /www/saturn/scripts/..%5c%5c../winnt/system32/cmd.exe

*ggg* - war wohl nix "NIMDA worm"

Original geschrieben von asg
Machst Du NAT von aussen nach innen?
Zumal es jedem erlaubt sein sollte auf Deinen SMTP Port zu connecten, in wie weit er dann Deinen Mailserver nutzen kann (open relay) ist eine anderen Sache.

 
NAT bzw. PAT ist klar, sonst könnte man mir ja keine Mails zustellen.
open relay: nein, zum spammen sollen die Ihr eigenen Resourcen nutzen
was ich nicht verstehe, wie aus einem Port 25-Zugriff mit der Quell-IP 217.192.14.61 (im ipfw.log)
ein Zugriff mit der Quell-IP 127.0.0.1 (im mail.log) wird

Original geschrieben von asg
Warum verbietest Du localhost, sprich 127.0.0.1 alles?

 
127-er Adressen dürfen nur über das Loopback-Interface verwendet werden, aber nicht als eingehende Zugriffe (in).
Vielleicht hätte ich die erste Regel mit posten sollen, dann wärs klarer gewesen:

02000 allow ip from any to any via lo*

Alles andere mit IP 127.x.y.z ist m. E. Spoofing.
Wie der das geschaft hat, den "connect from localhost[127.0.0.1]
" auf den Postfix durchzuführen ist mir völlig schleierhaft.
Dem Anschein nach hat er aber nicht versucht mails zu versenden; jedenfalls steht nix im log

 

[robat]

Original geschrieben von maceis
hallo zusammen,
Warum sehe ich den Zugriff nicht so wie alle anderen in meinem hhtpd/access_log ?

 

Weil es wahrscheinlich kein vollständiger HTTP-Request war sondern ein Portscan oder sowas. In der access_log werden nur komplette Requests geloggt.

Wegen dem SMTP-Eintrag... benutzt du einen Spamfilter ? Oder hast du von einem Systemprozeß eine Mail bekommen ? Die käme dann ja von 127.0.0.1.

Ciao,
Robert

 

[maceis]

Original geschrieben von robat
 

Weil es wahrscheinlich kein vollständiger HTTP-Request war sondern ein Portscan oder sowas. In der access_log werden nur komplette Requests geloggt.

Wegen dem SMTP-Eintrag... benutzt du einen Spamfilter ? Oder hast du von einem Systemprozeß eine Mail bekommen ? Die käme dann ja von 127.0.0.1.

Ciao,
Robert

 

Hallo Robat,

vielen Dank für deine Antwort.
Das mit dem HTTP request kann ich mir gut vorstellen, würde wahrscheinlich auch zu den ftp-Zugriffen passen, den auf dem Router werden die ftp-Ports weitergeleitet, aber am Rechner sind nur noch lokale ftp Zugriffe zulässig.
Sollte ich mal ändern, ist `ne "Altlast"

Komisch ist es doch, denn das was ich bisher für Scans gehalten hatte, zeigt sich als "GET /" im access_log.
Da ich auf der index-Seite einen "redirect" habe, dachte ich immer, wenn die Folgeseite nicht aufgerufen wird, war´s eben nur ein Scan;
Aber es gibt ja anscheinend auch verschiedene Scan-Techniken
------

Spamfilter nutze ich keinen; ich dachte, die brauch ich nicht, wenn mein relay zu ist.
Mein Postfix akzeptiert nur mails aus dem lokalen Subnetz und wenn die Zieladresse mit meiner dyndns-Domain übereinstimmt.

Systemprozesse erzeugen bei mir keine "connect"-Zeile sondern sehen so aus:
... postfix/pickup[4296]: 096ED4E21B: uid=0 from=<root>
Eine" connect from loacalhost"-Zeile bekomme ich zB wenn ich mit "telnet localhost 25" ein Verbindung aufbaue.

Außerdem stimmt halt die Uhrzeit genau mit dem Eintrag im ipfw.log überein, drum hatte ich den Zusammenhang hergestellt.
*grübel*

Na ja - im Grunde könnte mir das ja Wurscht sein-
Meine Daten sind sicher und der Rest ist eh mehr eine Spielerei bei mir.
Aber interessieren würde mich das doch.

 

[asg]

http://www.postfix.org/pickup.8.html

Das erklärt Dir Deinen "pickup"

 

[maceis]

Die einzigen mails die ich vom System bekomme sind meine Cronjob-Ergebnisse.
Und die werden so geloggt.

Ich mach relativ viel mit CRON, zB tägliche Backups meiner Konfigurationen, WWW-Verzeichnisse, mySQL Datenbanken etc. per Shellskript
Die werden dann 8-mal rotiert und danach weggeworfen.
Halt ähnlich wie bei den Standard Cronjobs.
War ich schon oft froh drum
-----------
bei der Gelegenheit kann ich eine alte Frage noch einmal aufwerfen, auf die ich damals keine Antwwort bekommen hatte.
Als meine Skripts noch von sendmail verschickt wurden (Jaguar), hatte ich ganz am Anfang ein
echo "Subject: und hier was Informatives"
das ging dann in den Betreff der Mail;
war echt nett
Seit Postfix geht das nimmer - weiss da jemand Abhilfe ?

 

[asg]

Hmm?
Versteh ich nun nicht, das geht doch:

newton-encephalon-de:~/steuer asg$ mail -s SUBJECT asg  < finanzamt_2003_anschreiben.sxw 
newton-encephalon-de:~/steuer asg$ mail
Mail version 8.1 6/6/93.  Type ? for help.
"/var/mail/asg": 1 message 1 new
>N  1 asg@newton-encephalo  Wed May 12 22:22  41/3821  "SUBJECT"
&

Oder "cat $deine.log | mail -s DEIN-SUBJECT $user"

Das subject sollte keine Leerzeichen enthalten, mehr dazu in "man mail".

EDIT: Sorry Doppelpost. Warum aber ist der Inhalt des "CODE" Blocks leer?

 

[asg]

Hmm?
Versteh ich nun nicht, das geht doch:

newton-encephalon-de:~/steuer asg$ mail -s SUBJECT asg < finanzamt_2003_anschreiben.sxw
newton-encephalon-de:~/steuer asg$ mail
Mail version 8.1 6/6/93. Type ? for help.
"/var/mail/asg": 1 message 1 new
>N 1 asg@newton-encephalo Wed May 12 22:22 41/3821 "SUBJECT"
&

Oder "cat $deine.log | mail -s DEIN-SUBJECT $user"

Das subject sollte keine Leerzeichen enthalten, mehr dazu in "man mail".

 

[maceis]

hallo asg,

Danke für Deine Mühe;
also erstmal:

 geht in diesem Board nicht.

[QUOTE]Oder "cat $deine.log | mail -s DEIN-SUBJECT $user[/QUOTE] 

Ich will mir nicht die logs schicken, sonder ich habe CRON so konfiguriert, dass die Ausgaben beim Abarbeiten der Cronjobs nicht in eine Datei /var//log/daily.out etc. geschrieben wird, sondern an meine externe Email Adresse geschickt werden.

Auch meine eigenen Cronjobs versehe ich mit Augaben z.B 
[COLOR]ls -l /ziel des Backups[/COLOR]
Dann sehe ich in der Mail an den Zeitstempeln der ls Ausgabe, ob die Backups gelaufen sind.
sieht in der mail dann etwa so aus:
[QUOTE]-rw-r-----   1 root    admin  22556535 12 May 20:03 www.0.tgz
-rw-r-----   1 root    admin  22541892 11 May 20:03 www.1.tgz
-rw-r-----   1 root    admin  22531601 10 May 20:03 www.2.tgz
-rw-r-----   1 root    admin  22529169  9 May 20:03 www.3.tgz
-rw-r-----   1 root    admin  22527632  8 May 20:03 www.4.tgz
-rw-r-----   1 root    admin  22320433  7 May 20:03 www.5.tgz
-rw-r-----   1 root    admin  22320949  6 May 20:03 www.6.tgz
-rw-r-----   1 root    admin  22225587  5 May 20:03 www.7.tgz
-rw-r-----   1 root    admin  22226126  4 May 20:03 www.8.tgz[/QUOTE] 

Bei den periodic Skripten erhalte ich immer ein schönes Subject "myhost.mydomain.com daily run output".
Bei meinen eigenen Skripten hatte ich das unter sendmail so wie oben beschrieben auch geschafft; unter postfix geht das nimmer.

 

[asg]

Lass doch die cronjobs in Ihre Dateien schreiben und versende dann mittels "mail" diese Dateien auf einen Schlag an eine Email Adresse.
Evtl. baust Du Dir nen kleines Script was danach die cron dateien einfach löscht.
Das sollte keine Mühe bei der Umsetzung machen, imho. ;-)

 

[maceis]

nöö - das nicht,
aber so wichtig ist das auch wieder nicht - hätte mich nur interessiert, wie man das beim postfix macht.
Die periodic Skripte könnens ja auch, aber da ist das eher komplex gelöst - hab ich nicht geblickt.