Firewall OS X - Das kann sie wirklich

[moppi99]

Hallo,

ach was mach ich nur mit meinem IPSEC Geraffel, IP 50,51 ?
Wie fässt man so was FW-mäßig an ?

 

[usr]

Das sind die Protokolle mit der Nummer 50 bzw. 51. Schalte einfach mal Protokoll 50 und UDP Port 500 in- und outbound frei. Bei mir reicht das aus.

 

[maceis]

Original geschrieben von usr
Das sind die Protokolle mit der Nummer 50 bzw. 51. Schalte einfach mal Protokoll 50 und UDP Port 500 in- und outbound frei. Bei mir reicht das aus.

 

hallo zusammen,

UDP ist in der Standardeinstellung sowieso auf allen Ports offen.

Was haben die Protokolle 50 und 51 damit zu tun ?
Blick ich nicht.

 

[moppi99]

Hallo,

@maceis
Ein Erläuterung gibts auf
http://home.t-online.de/home/TschiTschi/ipsec.htm

@usr
Wenn IPSEC, dann mit ESP im Tunnel.

 

[ernesto]

Udp??

 

hallo zusammen,

UDP ist in der Standardeinstellung sowieso auf allen Ports offen.

Was haben die Protokolle 50 und 51 damit zu tun ?
Blick ich nicht.

Wie? Standartmäßg offen?
Ich habe Probleme mit VoIP via X-Lite und sipgate.
Da spielen irgendwelche UDP Ports eine Rolle.
Möglicherweise finde ich so zu meinem Problem??
Es funzt nämlich alles, incl. Freizeichen, Wählton, meine Stimme nach außen..... ,- außer eben dem EINEN: ICH höre nix auf meinem Mac!!

 

[ernesto]

denglisch

Das sind die Protokolle mit der Nummer 50 bzw. 51. Schalte einfach mal Protokoll 50 und UDP Port 500 in- und outbound frei. Bei mir reicht das aus.

Könnte das eine Info für mein Problem sein??
Was bedeutet denn "inbound" "outbound"??
Wie bring ich dieses UDP-Protokoll ins Spiel??

Ich will ja kein firewall-Experte werden, sondern nur eine weichware installieren und benutzen.......

Wenn dann meine firewall folgendes zeigt:

02000 allow ip from any to any via lo*
02010 deny ip from 127.0.0.0/8 to any in
02020 deny ip from any to 127.0.0.0/8 in
02030 deny ip from 224.0.0.0/3 to any in
02040 deny tcp from any to 224.0.0.0/3 in
02050 allow tcp from any to any out
02060 allow tcp from any to any established
02070 allow tcp from any to any 3478 in
02080 allow tcp from any to any 5060 in
02090 allow tcp from any to any 5082 in
02100 allow tcp from any to any 8000-8019 in
02110 allow tcp from any to any 10000 in
12190 deny tcp from any to any
65535 allow ip from any to any

Diese ports höher als 3478 sollten für VoIP sein, diese ports sollten aber UDP udn nicht TCP sein....., wie ändere ich das, falls notwendig??

 

[KAMiKAZOW]

Wirklich guter Fred.
Sollte ich nicht zufällig gerade wegen Müdigkeit was übersehen, wurde dieser Link noch nicht gepostet: http://www.de.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/firewalls.html

 

[asg]

Da es sich um IPFW handelt, welches von FreeBSD kommt, wäre ein Blick ins bsdforum nicht falsch (www.bsdforen.de). Dort gibt es howtos zu IPFW und einige Threads.
Ansonsten auch mal in das wiki von bsdforen.de schauen, da gibt es auch einiges zu:
http://wiki.bsdforen.de/tiki-index.php?page=Firewall-Regeln

 

[usr]

Ich würde ja gerne helfen, aber ich kenne die Syntax von ipfw kaum. Wenns jetzt iptables wäre...

 

[echt0711]

hallo alle,

ich will jetzt doch nochmal eine frage loswerden: habe seit kurzem eine airport station im einsatz, die ja auch als firewall fungiert und daraufhin hab ich die OS X firewall in meinem g5 sowie das dortige "internet sharing" einfach abgeschaltet. tut soweit prima. jetzt ist mir aufgefallen - beim besuchen einer website die mir die ports scannt, daß diese nicht mehr als "gestealthed" gemeldet werden (wie unter der ipfw) sondern als "closed". Kann jemand nochmal den unterschied zwischen "close" und "stealth" darstellen und evtl. einen kurzen comment posten, ob die "closed" ports ein sicherheitsrisiko darstellen. außerdem wäre es natürlich gut zu wissen, ob die airport-basisstation firewall ähnlich funktioniert wie die IPFW und ob ich sie auch so detailliert konfigurieren kann!

 

[usr]

Ich kenne zwar die Airport Station nicht, denke aber, dass die "Firewall" das ganz normale NAT darstellt. Zum Thema closed und stealthed: bei closed erhält der "Scanner" eine Rückmeldung wie z.B. einen TCP reset, bei stealthed werden die eingehenden Pakete einfach verworfen. Der Vorteil liegt darin, dass der "Scanner" länger braucht -> timeout abwarten.

 

[echt0711]

hmm… wenns einfach eine NAT ist, dann heisst das doch daß noch garkeine Firewall im Einsatz ist oder? Eine Paketfilterung findet in dem Fall garnicht statt weil einfach alles an die internen IPs weitergegeben wird was ankommt… ich kriege also nur Pakete, die ich auch tatsächlich angefordert habe. Soweit so gut - dann gäbe es durchaus noch Gründe die dafür sprechen, die IPFW im G5 wieder anzuschalten. Oder?

 

[usr]

Eingehende Pakete (Verbindungsaufbau) auf der externen Schnittstelle verfallen ohne explizites Weiterleiten an einen internen Host einfach. Wenn du deinen außgehenden traffic filtern willst, macht IPFW schon Sinn. Wobei man eher die Ursache, als die Sympthome bekämpfen sollte, d.h. schalte alle Dienste ab, du du nicht benötigst.

 

[WoSoft]

nachdem solange über eine Desktop-Firewall diskutiert wurde, mal eine Anmrkung:
In kommerziellen Systemen setzt man zusätzliche Hardware (Rechner) ein, nach dem Motto eine Netzwerkkarte führt ins WAN und eine weitere ins LAN und die Firewall kontrolliert, was die physikalische Hürde passieren darf. Dass dann auch noch ein Proxy dazu kommt oder der sogar auf einem weiteren Rechner läuft, ist klar.
In Semipro-Systemen setzt man einen Router mit Firewall und NAT ein, mindestens. Wenn ich an den Vigor 2900 denke, mit dem kann man DoS-Abwehr realisieren, URL-Filter setzen und sogar Dateiformate blocken und schließlich sogar die einzelnen User über VLANs von den evtl. noch möglichen "Untaten" der anderen abschirmen. Und das alles in der 300-Euro-Klasse inklusive WLAN-Basis.
Ich meine, wer sein System sicher machen will, sollte eher eine Hardware-Lösung in Betracht ziehen.

 

[maceis]

...
Eine Paketfilterung findet in dem Fall garnicht statt weil einfach alles an die internen IPs weitergegeben wird was ankommt…
...

Eben nicht (der Router weiss ja nicht, an welche der internen Rechner er weiterleiten soll, solange kein NAT eingerichtet ist). Ein Paket, das auf einem bestimmten Port (z. B. 110) den Router erreicht, wird vom Router beispielsweise mit einem reset beantwortet.
Das kann man frei übersetzen mit "Hallo, hier läuft kein Dienst auf dem Port 110" (=Port ist im Zustand "closed")
Die Aussage von usr ist insofern nicht ganz richtig, da die Pakete nicht verfallen, sondern zurückgewiesen werden.
Dieses Verhalten lässt sich (neben weiteren Möglichkeiten) übrigens mit der ipfw von OS X auch erreichen ("reset" anstelle von "deny" als action wählen)

Dem Beitrag von Beitrag von WoSoft stimme ich weitgehend zu, möchte aber ergänzen, dass die ipfw eigentlich nicht wirklich eine Desktopfirewall ist, da sie durchaus in der Lage ist. mit mehreren Schnittstellen umzugehen (dass diese in einem Desktoprechner meist nicht vorhanden sind, ist eine andere Sache).

Das mit der DoS Abwehr ist so eine Sache.
Man kann damit zwar bestimmte Angriffe dadurch abmildern, dass man den Kontakt zu dem/n angreifenden Rechnern für eine bestimmte Zeit unterbindet.
Allerdings öffnet man dadurch die Tür zu einer andern DoS Variante.
Ich persönlich halte wenig davon, wenn ein Router "automatisch" IP-Adressen blockieren darf.

 

[Mr. S]

Wie wohl fast alle wissen, ist eine Firewall - allgemein gesprochen - ein Instrument um den Datenverkehr zwischen vernetzten Computern zu kontrollieren und ggf. zu beeinflussen.

Richtig, das ist eigentlich auch das Ziel. Leider ist in 10.3 mittlerweile jede Menge MS drin, deshalb würde ich es begrüßen eine einfache Kontrolle einzubauen, wer wohin senden darf. Seit ich 10.3 drauf habe blinkt die Lampe für Traffic an meinem Modem fast ununterbrochen. Dann akzeptiere ich auch lieber nervige Popups mit Fragen nach dem Zugriff. In wie weit Apple-Software heimweh hat weiss ich nicht. Gibt es irgendwo eigentlich eine Portliste mit den ganzen verwendeten Ports wie z. B. die von AppleTalk?

 

[oneOeight]

Gibt es irgendwo eigentlich eine Portliste mit den ganzen verwendeten Ports wie z. B. die von AppleTalk?

im terminal
"more /etc/services"

 

[Graundsiro]

Soviel ich weiss greifft Brickhouse auch auf die ipfw zu. Ist es dann besser mit dieser Gui die Firewall zu konfigurieren?

 

[TAOG]

ich weis nicht ob sich jemand schon einmal mit firewalkX auseinander gesetzt hat. die software nutzt, sofern ich das richtig interpretiert habe, auch die interne firewall möglichkeiten verbindet aber die funktionalität mit dem komfort von little snitch (homecall).

 

[michanismus]

Hallo,

ich poste einfach mal meine Konfiguration hinten ran

add 01000 allow ip from any to any via lo0
add 01001 deny ip from 127.0.0.0/8 to any in 
add 01002 deny ip from any to 127.0.0.0/8 in
add 01003 deny ip from 224.0.0.0/3 to any in
add 01004 deny tcp from any to 224.0.0.0/3 in

# allow established connections
add 01100 allow tcp from any to any established 
add 01101 allow udp from any to any frag

# dns
add 01200 allow udp from any to any 53 out
add 01201 allow udp from any 53 to any in

# dhcp
add 01202 allow udp from any 67,68 to any 67,68

# disable ms office spying
add 01300 deny tcp from any to any 3000-65535 in setup
add 01301 deny udp from any to any 2222

# ICMP traffic
add 01400 allow icmp from any to any icmptype 0,3,4,11,12

# ssh
#add 01500 allow tcp from any to any 22 out setup

# http, https
add 01500 allow tcp from any to any 80,443 out setup

# pop3
add 01600 allow tcp from any to any 110,995 out setup

# smtp
add 01700 allow tcp from any to any 25 out setup

# ftp
add 01801 allow tcp from any to any 20,21,4055 setup
add 01802 allow tcp from any to any 1024-65535 keep-state

# webserver
add 01900 allow tcp from any to any 80 in setup

# Windows Remote Desktop Protocol (RDP)
add 02000 allow tcp from any to any 3389 out setup

# Windows Name Service
add 03000 allow udp from any to any 137

# Real Audio and Video
#add 05000 allow tcp from any to any 554 setup
#add 05001 allow tcp from any to any 7070 setup
#add 05002 allow udp from any to any 6970-7170 setup

# default
add 65500 deny ip from any to any

bei Fragen, fragen