Original geschrieben von maceis
soweit ich weiss schreibt man am Ende eines Blocks noch
!*
Aus "man syslog.conf" ein Beispiel:
# Save ftpd transactions along with mail and news
!ftpd
*.* /var/log/spoolerr
Und unter Mac OS X brauchts noch ein Paar Einträge, damit die logs nicht zusätzlich im system.log landen- bin aber jetzt zu faul zum Suchen und interessieren wird´s ohnehin die Wenigsten
Sitze leider gerade nicht an meinem Mac. Aber wahrscheinlich ist in der syslog.conf angegeben das er dies alles ins system.log schreiben soll. Muss ich heute abend mal reinschauen. Interessiert mich ja nun schon.
Man muss sich ein StartupItem basteln, wenn man sich nicht auf die Konfiguration über "Sharing" beschränkt.
Ah ok, dieses StartupItem wieder. Dann werde ich da einfach mal eine Datei anlegen mit entsprechenden Rules die er dann beim booten laden sollte. Mal sehen ob das klappt.
Die Regeln selbst werden AFAIK im RAM gehalten (weiss ich aber nicht genau).
Dass so eine Datei natürlich höchst sicherheitsrelevant ist, versteht sich von selbst.
Klar liegen die Regeln im RAM, sonst müsste ja bei jedem Netzzugriff, egal ob von innen nach aussen oder aussen nach innen die Platte anspringen und die Rules durchchecken. Verschwendung von Ressourcen bzw. eine Ausbremsung der Firewall an sich.
Das so eine Datei nur von root zu lesen, bzw. auszuführen ist versteht sich von selbst. Interessant wäre in diesem Zusammenhang ob es unter MacOSX Filesystemflags gibt die es sogar root unmöglich machen würden diese Datei zu ändern, löschen, whatever (ausser im single user mode). Ich denke das wird es aber nicht geben, ebenso wie fehlende security level.
Na, wenn es das nicht gibt, evtl. kommt es noch (wenn Apple noch mehr von FreeBSD übernimmt).
Leider gibt es unter Mac OS X ein seltsames Fehlverhalten, das verhindert, dass das Firewall Logging, wie es üblich ist, in der Datei /etc/rc aktiviert wird.
Hab schon mal ne ganze Weile nach Info darüber gesucht - gibts aber nichts.
Auch hier muss man sich mit einem StartupItem behelfen.
Das logging sollte über die Rules und den Zusatz "log" in den entsprechenden Rules und einem Eintrag in der syslog.conf funktionieren. Da IPFW von FreeBSD kommt wird das Verhalten unter MacOSX kaum anders sein.
Ach übrigens: die eine Regel, die alles erlaubt, die du ober erwähnt hast erscheint übrigens dann, wenn man die Firewall in Sharing stoppt.
Deaktivieren im eigentlichen Sinne kann man die Firewall im Gegensatz zu nachinstallierten Desktop-Firewalls nicht, da Sie nicht als Prozess läuft, sondern als KernelErweiterung geladen wird.
Da IPFW im Kernel automatisch drin steht, wird es auch immer geladen. So gesehen ist die FW, IPFW, nie gestoppt, sondern es wird einfach eine Default-Regel eingetragen die jeglichen Verkehr erlaubt (was einer nicht vorhandenen Firewall gleichkommt).
In wie weit es hier um das laden von Modulen geht (IPFW) oder ob IPFW direkt im Kernel eingetragen ist, kann ich (noch) nicht sagen. Wollte aber, wenn es die Zeit zulässt, mir den Kernel, bzw. die Config und evtl. Module, das ganze Zusammenspiel, mal genauer ansehen. Und dann auch, was wahrscheinlich 99,9% der MacUSer nicht machen, einen Kernel bauen.
Evtl. gibt es ja Optionen die man weglassen kann, bzw. das System schneller machen...
