Firewall OS X - Was kann sie wirklich?

[maceis]

hallo robat, hallo hairfeti und hallo ihr anderen alle drumm

Was für Komponenten meinst du denn ?

jetzt hast du mich erwischt, im Detail muss ich da passen. Die Information habe ich aus meiner Ausbildung (hab´jetzt gerade sogar noch einmal die Unterlagen rausgekramt, aber auch hier keine weiteren Details gefunden).
Bestätigt wurde das auch von einem Vorgesetzten, den ich während des Praktikums in einer Firma hatte, die u. a. solche Teile installiert.
Der hatte mir das zwar damals relativ genau erklärt, verstanden (oder gar gemerkt) hab ich das aber leider nicht so richtig.
So ganz dunkel erinnere ich mich, dass unter bestimmten Bedingungen Datenpakete (nach deren Prüfung) nicht einfach von einem Anschluss zum andern kopiert werden, sondern zwecks Prüfung in eine besondere Art von Cache geschrieben werden.
Dies ist anscheinend - soweit ich mich noch erinnern kann - notwendig, weil bestimmte Angriffs-Szenarien nicht erkannt werden können, wenn nur jeweils einzelne Datenpakete untersucht werden.
Das ist jetzt ziemlich wenig, aber ich weiss es einfach nicht mehr genauer

----

Software-Firewall ist dagegen wieder einfach (und eigentlich auch offensichtlich).
aber da macht euch mal selber Eure Gedanken *ggg*
- und abgesehen davon: "... ich hab´ keine Pflicht" (Nina Hagen)

 

[robat]

Hi maceis,
hmm, ich erinnere mich an sog. airgap-firewalls... die lassen hardwaremässig beispielsweise nur one-way Verbindungen zu... Vielleicht wars ja sowas.
So, jetzt geh ich aber essen.

 

[ts_]

Eine Hardwarefirewall ist Hardware + Firewallsoftware. Diese hat in erster Linie den Vorteil, dass diese nur Firewall ist und keine weitere Software, die andere Zwecke erfüllen soll auf dem selben Gerät läuft. Dadurch ist ein zu schützendes Netz durch die Firewall abgesichert. Ein Angreifer muss so erst einmal an der Firewall vorbei um in das Netz zu kommen. Selbst falls die Firewall gehackt wird sind noch nicht die internen Rechner gefärdet. (Das wird aber dann bald der fall sein).
Eine Hardwarefirewall ist in Grunde genommen also eine Stufe sicherer als eine die auf dem Arbeitsrechner läuft.

Thomas

 

[maceis]

hallo zusammen drumm

schön, dass so ein interessantes Thema wieder auflebt.

@ robat
lass dirs schmecken

@ ts
du schreibst fast genau das, was ich vorhin aus meinem Beitrag wieder gelöscht habe, damit´s nicht zu lang wird.

Bei SW-Firewall Lösungen (auf einem Arbeitsplatz Rechner oder einem Server) sehe ich im Wesentlichen folgende Probleme.

1. wenn der Rechner schon ohne Firewall unter Last steht, wird die Prüfung nur langsam oder nur oberflächlich sein, oder die anderen Aufgaben werden gebremst.
Beides in vielen Umgebungen nicht akzeptabel.
2. Jeder Dienst und jede Software, die auf einem Rechner laufen, stellen ein ein Sicherheits- und/oder Performancerisiko dar.
Typische Beispiele: offene Ports, abstürzende Rechner, Fehlkonfigrationen, undokumentierte bzw. unbekannte Nebeneffekte usw.

 

[usr]

Ach was. "Hardwarefirewalls" haben ihre Funktionen fest in ASCIs verdrahtet. Wenn es ein Sicherheitsloch oder neue Angrifsmöglichkeiten gibt, dann muss ne neue FW her

Offene Ports sind ja ziemlich uninteressant, so lange kein Dienst lauscht. Wobei...wenn man da an so manche grauenhafte TCP/IP Implementierung denkt...

 

[maceis]

hallo usr

Original geschrieben von usr
... Offene Ports sind ja ziemlich uninteressant, so lange kein Dienst lauscht. ...

 
ja was glaubst du denn, wer die Ports aufmacht, bei aktivierter firewall ???
und was würdest du als potentieller Cracker oder als Skript-Kid denn suchen?
Und soll bloß keiner kommen und jetzt posten, wie unwahrschinlich das ist.
Gäbe es keine Einbrecher, bräuchten wir auch keine Schlösser.

 

[usr]

Natürlich nach einem unsicheren Dienst, den jemand anbietet. Am besten was ungepatchtes und mit einer fehlerhaften Konfiguration

 

[CRen]

Vielleicht sollte man erstmal klarstellen, wofür man eine Firewall überhaupt braucht. Meine habe ich jedenfalls gerade wieder abgestellt, weil ich der Meinung bin, sie nicht zu brauchen.

Also, wofür Firewall?

1. Schutz des Systems vor Hackerangriffen.

Da stellt sich mir die Frage: WAS möchte ein Hacker mit meinen Daten? Zumal mein System allein durch die dynamische IP-Adresse bei der Einwahl ins Netz geschützt ist, selbst wenn die wie bei DSL nur alle 24 Stunden erfolgt. Zudem muss ein Hacker erstmal meinen Rechner im Netz finden und mit mir in Verbindung bringen, um mir sinnvoll Ärger zu machen.
Ausgenommen natürlich Script-Kiddies, die es irgendwie drauf anlegen, dass sie irgendwas finden. Aber das soll mir egal sein, denn was wollen die mit meinen Daten?
Auch Trojaner oder DNS-Würmer etc. fürchte ich nicht wirklich, denn irgendwie sind ja 90% aller PCs Windows-Systeme.
Warum sollte sich ein Bösewicht die Mühe machen, noch die restlichen 10%, bestehend aus Linux, OS X und Amige mitzunehmen? Die sind a) schwerer zu knacken und b) macht es keinen Sinn, mit 10% aller Rechner Attacken zu fahren, wenn man es auch mit 90% könnte.

Problematisch sind freilich Server mit einer festen IP.

2. Kontrolle, welche Programme so senden, was gesendet wird und was so reinkommt

Eine prima Funktion, besonders unter Windows, weil man damit recht einfach diverse Adware, lästige Nachhause-Telefonierer und andere dümmliche Programme lahmlegen kann. Unter OS X sehe ich in der Hinsicht keinen großen Bedarf, weil es nicht wirklich viel Software in diese Richtung gibt.

3. Paranoides Wahnverhalten

Firewall-Nutzer sehen ihre Firewall als wichtig und nötig an und beweisen es anhand der "Angriffe" in Form von Pings und ähnlichem. Ihr fundiertes Wissen über die Hacker-Szene entnehmen Sie Computerbild und Co.

Hmmm...

Ja ;-)

Gruß,
Christian

 

[maceis]

und dazu einen ausführlich beschriebenen exploit

stell dir mal Folgendes vor.

- kleine Firma
- peer-to-peer Netz mit "wilden" Freigaben
- unkontrollierte Internetverbindungen, da die User die Mails in beliebigen Intervallen
autmatisch abholen lassen

- ein "Mitarbeiter" bringt sich von zuHause ein Spiel mit, das auch netzwerkfähig ist oder eine andere Software, die nach "neuen Updates" sucht, oder eine "freeware" mit "Schadensfunktion" oder einer hat das Softwareupdate aktiv oder oder oder

- ein Softwarerouter , der die Verbindung dauernd, oder auch nur 15 Minuten offen hält
- auf einem oder allen Rechner läuft die "firewall"
- Verbindungen, die von innen initiert sind werden sind zulässig, so, wie bei der Standardkonfiguration der ipfw von OS X
siehe:

....
02060 allow tcp from any to any established
...

----
Ach übrigens, dass "Ack-Bit" kann man auch fälschen

 

[maceis]

halo christian

Vielleicht sollte man erstmal klarstellen, wofür man eine Firewall überhaupt braucht.

haben wir das nicht schon weiter oben gemacht ?

Firewall-Nutzer sehen ihre Firewall als wichtig und nötig an und beweisen es anhand der "Angriffe" in Form von Pings und ähnlichem. Ihr fundiertes Wissen über die Hacker-Szene entnehmen Sie Computerbild und Co.

muss ich dich da (zumindest was mich angeht) ganz erheblich enttäuschen.

Unter OS X sehe ich in der Hinsicht keinen großen Bedarf, weil es nicht wirklich viel Software in diese Richtung gibt.

muss ich dich seit Panther auch da enttäuschen.
Eine dieser Software heisst Mac OS X 10.3 - leider !

Nachfolgend ein Mitschnitt aus dem system.log einer Testumgebung, während unerklärlicher Verbindungsaufbauten ins Internet;
wer mit das erklären kann, bekommt ein Bonbon:

Feb 11 13:27:45 localhost configd[89]: posting notification com.apple.system.config.network_change
Feb 11 13:27:45 localhost mach_init[2]: Server 0 in bootstrap d03 uid 0: "/usr/sbin/lookupd": exited as a result of signal 1 [pid 376]
Feb 11 13:27:45 localhost lookupd[387]: lookupd (version 324) starting - Wed Feb 11 13:27:45 2004
Feb 11 13:27:46 localhost configd[89]: posting notification com.apple.system.config.network_change
Feb 11 13:27:46 localhost mach_init[2]: Server 22b7 in bootstrap d03 uid 0: "/usr/sbin/lookupd": exited as a result of signal 1 [pid 387]
Feb 11 13:27:46 localhost lookupd[388]: lookupd (version 324) starting - Wed Feb 11 13:27:46 2004
Feb 11 13:27:46 localhost configd[89]: posting notification com.apple.system.config.network_change
Feb 11 13:27:46 localhost mach_init[2]: Server 0 in bootstrap d03 uid 0: "/usr/sbin/lookupd": exited as a result of signal 1 [pid 388]

und jetzt rate doch mal, was die obersten Netzwerk-Fuzzies (Verzeihung, Experten) von Apple dazu sagen, nachdem sie das ganze nachgestellt und bestätigt hatten
---
Ach und noch was
Ich hatte noch nie ne richtige Firewall, ich brauch nämlich auch keine

 

[SirSalomon]

@maceis
Es bezweifelt keiner woher Du Dein Wissen hast. Auch wenn Du in einer Mail weiter oben nicht gerade ein Paradebeispiel dafür gegeben hast.

Mit einem gebe ich vielen hier Recht. Die Berechtigung einer Firewall - Software setzt erstmal voraus, dass irgendwas passiert sein muss. Und sei es nur, dass der Hersteller der Software ein panisches Logfile anzeigen läßt.

@CRen
Mit einem hast Du auf jeden Fall Recht. Deine Daten sind völlig uninteressant für den versierten "Hacker". Was aber interessant ist, ist Dein Rechner. Der Großteil der Computer wird für weitere Attacken auf andere Systeme benötigt.

Das dient zum einen für ein mehr an Rechner zum attackieren, zum anderen um die eigene Straftat zu verschleiern.

Was nun eine Firewall - Lösung ist, sei mal dahin gestellt. Es gibt durchaus brauchbare Lösungen, die für den normalen "DAU" ausreichen. Die Mehrheit dieser User sollte besser keine Firewall haben, wenn sie ihrem Geld nicht böse sind. Wie sich ein solches System als "gut" darstellt, muss mir aber noch jemand erklären

Folgendes bezieht sich auf die Standard - Lösung, die gerne als "DIE FIREWALL-SOFTWARE" verkauft wird.

Wann ist eine Firewall - Lösung denn nun gut? Wenn sie nichts meldet? Woher weiss ich dann, dass sie irgendwelcher Attacken standhaft geblieben ist? Schließlich geht der "Hacker" doch erstmal hin und verchleiert seinen Übergriff. Also kann ich ihn eigentlich nicht mehr feststellen.

Wie stelle ich dann fest, ob überhaupt ein Übergriff statt gefunden hat? Wenn nun aber das Logfile permanent mit Warnhinweisen gefüllt wird, bekommt der gemeine "DAU" doch schier Panik. Er denkt doch nichts anderes, wie das sein Rechner dem bösen Internet ausgesetzt ist.

Abgesehen davon, dass ein Großteil der Übergriffe vom lokalen Netzwerk ausgehen, muss ein Rechner, oder auch Netzwerk, ehr weniger vor dem Internet geschützt werden wie vor den Übergriffen aus den eignen Reihen. Dort finden die eigentlichen Attacken statt. Und welcher User verwendet schon eine Software die das Internet vor ihm schützt?

Merkt Ihr was? Ein System ist nur so sicher, wie sich der Verantwortliche fühlt...

Um nun fest zu stellen, welche Software sich nun an den Programmierer wendet, benötige ich keine Firewall, da reicht ein einfacher Sniffer aus. Ausserdem, warum sollte ich irgendwelche Bedenken gegenüber einer Meldung haben? Muss ich etwas befürchten? Ist die eine Software, die "nach Hause telefoniert" etwa nicht legal? Warum habe ich überhaupt das Gefühl, ich muss mich einer Software - Registrierung entziehen?
Die Thematik der Adware hat aber nichts mit der Firewall zutun.

 

[maceis]

hallo SirSalomon.

du hast sicher recht, mit dem was du da schreibst,

nur eins:
Wo bitte steht denn geschrieben, dass eine firewall "nur" dazu da ist den bösen bösen Buben aus dem Internet draußen zu halten ??
Das ist sicher eine der wichtigsten Aufgaben, aber auch sicher nicht die einzige.
Es gibt z. B. Unternehemn (zugegeben, das ist jetzt wirklich die Ausnahme) bei denen jede Verbindung nach draußen (und drinnen), ja sogar jede Webseite, die eine Nutzer (oder sollte ich sagen Insasse) aufrufen möchte vom Administrator freigegeben werden muss.

Was das Gefahrenpotential angeht, so sehe ich das zu einem nicht zu unterschätzenden Teil in mehr oder weniger jugendlichen (zumindest im Kopf) Halbinteressierten, die sich unter Nutzung der von Papi (oder selbst) bezahlten billigen DSL-Flat einfach nur einen "Spass" machen wollen.
So nach dem Motto "Schau mer mal, wer grade Online ist, he he he he"
Wie man Schaden anrichtet (auch auf ***x-Systemen), ist relativ leicht rauszufinden.
Ich denke aber, dass hier eine brauchbare Backup Strategie (die für viele auch aus anderen gründen Sinnvoll ist) mehr bringt, als ne Firewall, die der Deutschen Bank zur Ehre gereichen würde.

Davon abgesehen sehe ich den Inhalt dieses Freds (der eigentlich ganz anders angefangen hat) nicht primär darin zu entscheiden, ob der Durchschnittsuser auf seiner privaten Maschine eine Firewall benötigt oder nicht.
Das muss ja schließlich doch jeder selbst entscheiden !!!
Mir persönlich (und das sei mir bitte erlaubt!) geht es mehr um die Diskussion, welche Konzepte es gibt, was diese leisten könnnen und in welchen Umgebungen sie für gewöhnlich als aureichend sicher einzuschätzen sind.

Was das Paradebeispiel angeht, welches du erwähnst (ich gehe mal davon aus, du meinst die Sache mit der Hardware) so sei mir doch bitte auch mal erlaubt, was zu vergessen, oder im schlimmsten Fall sogar falsch zu verstehen und wiederzugeben.
Zugegeben, ich hätte vielleicht ohne tiefgehendes Spezialwissen diese Nebensatz einfach weglassen sollen.
Ich hab hier allerdings (speziell in diesem fred) schon viel Haarsträubenderes gelesen.

Noch ein Wort zu dem vielzitierten "Nach Hause Telefonieren" von Software:
Dass so etwas heutzutage vor dem Hintergrund der rapide anwachsenden Softwarepiraterie nowendig ist (adobe z. B. schätzt den unlizenzierten Einsatz Ihrer Software auf rd. 28% soweit ich mich erinnern kann) vermag ich ja noch einzusehen.
Dass soetwas aber hinter dem Rücken derjenigen Kunden geschehen muss, die Ihre Software bezahlt haben halte ich jedenfalls für skandalös.
Und dass ein Unternehmen, das Software auf dem Niveau von Adobe produziert, nicht in der Lage ist, sich da was Besseres zu entwickeln, halte ich für ein Gerücht.

lange Rede, kurzer Sinn:
Peace, SirSalomon

 

[SirSalomon]

Meine Mail war und sollte auch nicht aggressiv sein. Das hat etwas mit "Gedankenanstoß" und "anders denken" zutun.

Wenn ich mir Deine Aussagen durchlese, entwickelt sich der Glaube, man müsse sich unbedingt "schützen". Und wenn Du meine Mail aufmerksam durch gelesen hast, habe ich einiges in Frage gestellt. Nicht was Du geschrieben hast, sondern was als allgemeine Aussage gilt. Ich lasse Dir durchaus Deine Meinung, solange sie Sachlich und Richtig ist

Es tut mir Leid, wenn mein Schreiben zu "streng" war, oder als solches gelesen wurde. Aber das liegt dann auch im Auge des Betrachters.

 

[IceHouse]

Das Recht auf Grundinformation sollte jeder, der sich in solch eine Diskussion begibt, wahrgenommen haben:

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
(de.comp.security.firewall FAQ)

Wer nicht weiss, was de.comp.security.firewall bedeutet hier ein Auszug aus dieser FAQ:

Die Leute, die in dieser Newsgruppe miteinander reden, haben zum Teil äußerst unterschiedliche Vorkenntnisse. Absolute Neulinge treffen hier auf erfahrene Sicherheitsexperten. Letztere werden von einem nicht enden wollenden Strom von Anfängern immer wieder mit den gleichen Fragen konfrontiert.

Mit der Zeit sind dann die schon länger mitdiskutierenden Fachleute genervt, insbesondere wenn deutlich wird, daß ein Frager zu wenig eigene Anstrengungen unternimmt, um die von ihm gewünschte Information zu recherchieren. Dies führt gelegentlich bei den Experten bzw. Expertinnen zu einer sarkastisch wirkenden Schreibweise.

Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"

Die Antwort, die Du hören willst lautet: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm."

Diese FAQ soll dazu beitragen, dass derartige offenkundig unerfüllbare Wünsche seltener oder am besten gar nicht an die Gruppe herangetragen werden. Sie soll zum Nachdenken anregen.

Gruss
-=IceHouse=-

 

[maceis]

hallo SirSalomon,

och nein, so "streng" oder gar "aggressiv"hab ich´s gar nicht aufgefasst - ehrlich nicht
so ein Sensibelchen bin ich gar nicht -

Es tut mir Leid, wenn mein Schreiben zu "streng" war, oder als solches gelesen wurde. Aber das liegt dann auch im Auge des Betrachters

Die Blumen geb ich gerne zurück. *g*

Wenn ich mir Deine Aussagen durchlese, entwickelt sich der Glaube, man müsse sich unbedingt "schützen"

Ich dachte eigentlich, ich hätte klar gemacht (mehrmals und deutlich) dass ich das nicht so sehe, - das heiss halt: schützen muss man sich schon, die frage ist nur: wie und wie stark.

Und nochmal. Ich habe keine Hardwarefirewall zu Hause (obwohl ich ein kleines Netzwerk zum Spielen [incl. einem Rechner mit echten Produktivdaten] habe ) und ich werde mir auch nie eine kaufen.
Mir reicht es die wichtigsten meiner Daten gelegentlich auf CD zu brennen, oder auf übrige Festplatten zu schreiben.

Eigenartig finde ich allerdings solche Aussagen wie:
"Wer keine Server hat braucht sich nicht zu schützen", oder
"Dials-Up Hosts sind keine Angriffsziele"
Deswegen hatte auch meine Mutter (63 und einzige Benutzerin Ihres Rechners) unter XP regelmäßigen Besuch von "Silke ...", bis ich den Nachrichtendienst abgeschaltet und die Ports 137-139 geblockt habe *ggg*

Ach und noch ein kleiner Denkanstoss meinerseits:
Unter OS X sollte man sich bezüglich der o. g. Ports auch mal Gedanken machen, wenn man unter Sharing Windows Sharing (und vielleicht noch Printer Sharing) freigegeben hat.
Das Ganze am Besten in einer "oberflächlich" konfigurierten WLAN (Airport oder so) Umgebung .

-
Noch was in persönlicher Sache:
Wenn ich gelegentlich ein wenig - sagen wir mal - provokativ argumentiere, soll sich bitte keiner angep... fühlen.
Ihr könnt gerne genauso provokativ zurückargumentieren - bloß net gleich beleidigt sein.
Fänd ich schade.

 

[maceis]

hallo Icehouse

ich kannte den zwar schon, habe aber trotzdem noch einmal herzlich gelacht.

Solche lockeren Beiträge tun diesem Forum echt gut , auch wenn ich mich jetzt be wieitem nicht als einen Experten sondern eher als einen überdurchschnittlich Interessierten bezeichnen würden.

Zu deiner Grundaussage passt auch das hier ganz gut (ich kenn nur empfehlen, das zu lesen, auch wenn s lang ist

 

[Scyx]

HI!
Also als erstes mal ein Lob an alles, die sich hier die Mühe gemacht haben und so ausgiebige Threads gepostet haben. Ich hab auf diesen 7 Seiten mehr über Firewalls gelernt, als ich es in 2 Jahren Windo** geschafft habe
Allerdings, finde ich, ist der Thread leicht aus der Ordnung geraten.

Kurz noch en Exkurs in eigener Sache.
Viele sagen hier, warum braucht man denn überhaupt eine FW, wenn man keine brisanten Daten hat... Dazu muss ich sage, ich sehe nicht ein, für jede Software, die ich ab und zu mal brauche, ein schwei** Geld zu bezahlen.
Gut, unter Mac und Linux ist die Software ja bezahlbar, ein Großteil sogar frei. Von der Seite her, sollte man sich da nur in gewissem Maße beschweren...
Allerdings geht es KEINEN was an, was ich auf meinem PC habe. Egal ob's wichtig, nützlich, oder totaler Schwachsinn ist. Ein Recht auf Privatsphäre und Geheimnisse hat jeder Mensch, sollte auch (vielleicht sogar in den Grundrechten) einer Demokratie verankert sein.
Und genau aus diesem Grund wollen "PC-Normalbenutzer" oftmals auch eine FW, einfach um home-calling, oder sonstige "standard"-Überprüfungsverfahren zu verhindern. Denn da kann ich mich nur wiederholen, es geht keine was an, was ich auf meinem PC habe/tu. hier liesse sich noch über den Sinn/Unsinn/Schaden von File-sharing diskutieren, das würde aber wohl alles sprengen
Wenn sie Feedback wollen, sollen sie ein entsprechendes Angebot für die Leistung anbieten und auf freiwilliges Handeln hoffen.

Nun aber wieder zum Thema.
Ich vermute mal, dass die OS X FW, sollte apple interessiert an "ungewolltem" Feedback sein, so konzipiert/umgeändert wurde, dass sie die entsprechenden Dienste (homecalling) durchlässt ohne zu murren. Von der Seite her, sollte man dann wohl eine andere Firewall bemühen.
Inwieweit die OS X FW dann für andere Sicherheitsaspekte genutzt werden kann, muss leider ein anderer beantworten, da hab ich keine Ahnung.

Rekapitulativ wollte ich aber noch (offtopic) hinzufügen, dass eine Software-FW auf einem Laptop schon gewissen Sinn macht, stationär, allerdings, schon allein der Performance wegen, einer HardwareFW sinnvoller wäre.
Die größte, unkalkulierbare Gefahr, geht wohl von Skript-Kiddies aus, die nicht wissen was sie tun und dadurch großen Schaden anrichten können. Wenn ein echter Hacker rein will, dann wird er das auch schaffen. Sollte er bis dahin aber immernoch nicht bemerkt haben, dass es an diesem PC nichts zu holen gibt, ist er selber Schuld


P.S. Fühlt euch frei, diesen Beitrag zu löschen, sollte er nur Schwachsinn enthalten, oder einfach nur unnötig sein *smile*

 

[IceHouse]

Original geschrieben von maceis
Ach und noch ein kleiner Denkanstoss meinerseits:
Unter OS X sollte man sich bezüglich der o. g. Ports auch mal Gedanken machen, wenn man unter Sharing Windows Sharing (und vielleicht noch Printer Sharing) freigegeben hat.

 

/sbin/ipfw -f add 16000 deny tcp from any 135-139 to 192.168.1.0/24 in recv ppp0
/sbin/ipfw -f add 16001 deny udp from any 135-139 to 192.168.1.0/24 in recv ppp0
/sbin/ipfw -f add 16002 deny tcp from 192.168.1.0/24 135-139 to any out xmit ppp0
/sbin/ipfw -f add 16003 deny udp from 192.168.1.0/24 135-139 to any out xmit ppp0

Gruss
-=IceHouse=-

 

[maceis]

hallo zusammen

... dass sie die entsprechenden Dienste (homecalling) durchlässt ohne zu murren.

Die ipfw lässt (in der Grundeinstellung und allem was man auf der grafischen Oberfläche konfigurieren kann) alles durch, das von deinem Rechner initiiert wurde, also auch jede Art von "nach Hause telefonieren".
Ebenso sind Antworten zulässig auf Anfragen die von "innen" iniziiert wurden. (zB die Anzeige einer Webseite, die man mit Browser angefragt hat)

Zusätzlich werden Anfragen an Dienste "hereingelassen", die man in der SharingEinstellung aktiviert.
Daher mein Hinweis über die "Windows ports" nachzudenken, die sind nämlich dann zum Internet offen (zumindest, wenn man direkt über ein Modem angeschlossen ist)
Alles andere kann man über Terminal ziemlich fein einstellen, so wie IceHouse das demonstriert hat.

@ alle

... Dazu muss ich sage, ich sehe nicht ein, für jede Software, die ich ab und zu mal brauche, ein schwei** Geld zu bezahlen....über den Sinn/Unsinn/Schaden von File-sharing diskutieren ...

aaaaber
bitte folgendes nicht vergessen:
Zweites Gesetz zur Bekämpfung der Computerkriminalität
...
$202a
(1) Wer unbefugt Daten, die nicht für Ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen beschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft
...

nur mal so zur Info, bei gewerblicher Nutzung können es bis zu 5 Jahre werden!
Bitte nicht falsch verstehen, aber ich finde das sollte man wissen!

 

[SirSalomon]

Original geschrieben von maceis
Zweites Gesetz zur Bekämpfung der Computerkriminalität
...
$202a
(1) Wer unbefugt Daten, die nicht für Ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen beschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft
...

 

Ohne Dich jetzt ärgern zu wollen, die Dinger heissen Paragraphen, nicht Dollar

Also lieber dieses "§" wie das "$". Auch wenn ich Dich grundsätzlich mit dem Gedanken unterstütze, will ich Scyx in seinen Gedanken unterstüzen (nicht billigen).

Software ist nicht wirklich billig (Ausnahmen bestätigen die Regel). Ein Schreibsystem für mal eben 400 Euro zu kaufen ohne zu wissen, was man da bekommt, ist ein Paradoxum an sich.

Leider gehen immer mehr Hersteller dazu über ihre Software keine Test- oder Lite-Version voran zu stellen. Das führt ja grundsätzlich schon dazu, Software auf andere Art und Weise zu probieren.

Ok, aber das sind meine Gedanken. Und ich möchte ja nun erst Recht keinen dazu aufrufen sich Programme auf illegaler Art zu beschaffen.