Eintrag in appfirewall.log

26/04/2010 - 22:29 von Hans-Joachim Lange | Report spam
Guten Abend!

26.04.10 21:57:03 Firewall[68] Stealth Mode connection attempt to UDP
IPv4-Adresse (xxx.xxx.xxx.xx):62276 from Router (xxx.xxx.xxx.xx):53



Diese Meldungen stehen in ziemlicher Hàufigkeit in dem Logfile. Mal
zwei- bis dreimal pro Sekunde, mal mit mehreren Sekunden dazwischen. Die
Zahl in der eckigen Klammer wechselt zeitweise. Auch die Werte nach den
jeweiligen Doppelpunkten wechseln.

WLAN mit Time Capsule und DSL-Modem Fritz!Box SL.

Ich kenne mich nicht so gut mit Netzwerk und so weiter aus. Auch mit
Firewall nicht.

Mich beunruhigt die Hàufigkeit des Eintrags.

Hat das etwas damit zu tun, dass iTunes immer fragt, ob es eingehende
Netzwerkverbindungen akzeptieren kann?

Danke und Gruß,

Hans-Joachim Lange
 

Lesen sie die antworten

#1 Juergen P. Meier
27/04/2010 - 06:09 | Warnen spam
Hans-Joachim Lange :
26.04.10 21:57:03 Firewall[68] Stealth Mode connection attempt to UDP
IPv4-Adresse (xxx.xxx.xxx.xx):62276 from Router (xxx.xxx.xxx.xx):53



WTF soll ein ein "Stealth Mode" sein? Was hat Apple da nur wieder
gemacht.

Das oben sieht mir eher nach Antwortpaketen auf DNS Anfragen deines
Rechners aus.

Diese Meldungen stehen in ziemlicher Hàufigkeit in dem Logfile. Mal
zwei- bis dreimal pro Sekunde, mal mit mehreren Sekunden dazwischen. Die
Zahl in der eckigen Klammer wechselt zeitweise. Auch die Werte nach den
jeweiligen Doppelpunkten wechseln.

WLAN mit Time Capsule und DSL-Modem Fritz!Box SL.

Ich kenne mich nicht so gut mit Netzwerk und so weiter aus. Auch mit
Firewall nicht.



Die Mac OS X "ApplicationFirewall"? Das Teil ist Br0ken by Design.
Und zudem IPv4 only (IPv6 wird einfach garnicht gefiltert).

Mich beunruhigt die Hàufigkeit des Eintrags.



Falls die xxx-e zufaellig mit 224 beginnen, hat das eher was mit mDNS
zu tun.

Hat das etwas damit zu tun, dass iTunes immer fragt, ob es eingehende
Netzwerkverbindungen akzeptieren kann?



Du hast iTunes nicht freigegeben?

Mein Tip:

Die Application-Firewall abschalten und entweder Little Snitch
verwenden (wenn du buntes GUI bevorzugst), oder ipfw und ip6fw
selbst konfigurieren, z.B. ausgehend von folgendem Beispiel

Beispiele fuer ipfw+ip6fw startup-item:

1. Verzeichnis /Library/StartupItems/Firewall/ erstellen
2. Datei StartupParameters.plist erstellen mit folgendem Inhalt:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyL...">
<plist version="1.0">
<dict>
<key>Description</key>
<string>host based packet filter configuration</string>
<key>OrderPreference</key>
<string>None</string>
<key>Provides</key>
<array>
<string>Firewall</string>
</array>
<key>Requires</key>
<array>
<string>Network Configuration</string>
</array>
</dict>
</plist>

3. Datei Firewall erstellen (chmod +x)
#!/bin/sh
#
. /etc/rc.common
StartService ()
{
if [ "${FIREWALL:=-NO-}" = "-YES-" ]; then
ConsoleMessage "Initializing Firewall"
[ -f "/etc/rc.firewall" ] \
&& sh /etc/rc.firewall >/dev/null
fi
}
StopService ()
{
ConsoleMessage "Clearing Firewall"
/sbin/ipfw -f flush
/sbin/ip6fw -f flush
}
RestartService ()
{
StartService
}
RunService "$1"

4. Datei /etc/rc.firewall erstellen mit den eigentlichen ipfw Aufrufen,
z.B. (Ausgangspunkt fuer eigene Regeln!, ***=nicht verwenden falls
microsoft filesharing/printsharing genutzt werden soll)

sysctl -w net.inet.ip.fw.verbose=0
sysctl -w net.inet6.ip6.fw.verbose=1
sysctl -w net.inet6.ip6.fw.debug=0
sysctl -w net.inet.ip.fw.dyn_maxe536
sysctl -w net.inet.ip.fw.dyn_ack_lifetime600
ipfw -f flush
#IPv6 tunnel and traffic
ipfw add allow ipv6 from any to any
#basic stuff
ipfw add allow ip from any to any via lo*
ipfw add check-state
ipfw add deny ip from 127.0.0.0/8 to any in
ipfw add deny ip from any to 127.0.0.0/8 in
# Bonjour on LAN/WLAN interfaces
ipfw add allow udp from any to any dst-port 5353 out via en*
# if vmware fusion is installed and used
ipfw add allow udp from any to any dst-port 5353 out via vmnet*
ipfw add deny udp from any to any dst-port 5353 out
# Various Useless Pieces of Crap
ipfw add deny udp from any to any dst-port 2222,65082
# Permit established connections
ipfw add allow tcp from any to any out keep-state
ipfw add allow udp from any to any out keep-state
# Permit DNS unconditionally
ipfw add allow udp from any to any src-port 53 in
# Bittorrent (configured port manually in BT app)
ipfw add allow tcp from any to any dst-port 54321 in via en*
# Permit basic allowed UDP services (DNS, DHCP, tftp, NTP, DropCopy, mDNS)
ipfw add allow udp from any to any dst-port 53,67,68,69,123,5052,5353 in
# Permit basic allowed TCP services (ftp, ssh, ident, HTTP/HTTPS, vnc)
ipfw add allow tcp from any to any dst-port 21,22,113,80,443,5900 in
# Only retarded idiots block all ICMP
ipfw add allow icmp from any to any icmptypes 0,3,4,8,11
ipfw add deny icmp from any to any
# dirt guard (silently drop Microsoft Crap) ***
ipfw add deny tcp from any to any dst-port 137-139,445
ipfw add deny udp from any to any dst-port 137-139,445
# Be nice and reset unwanted TCP
ipfw add reset log tcp from any to any
# Drop other unwanted Multicast traffic (silently)
ipfw add deny ip from 224.0.0.0/3 to any in
ipfw add deny ip from any to 224.0.0.0/3 in
ipfw add deny ip from any to 224.0.0.0/3 out
# anything else outbound is ok. We trust ourselves.
ipfw add allow ip from any to any out
# Deny&Log anything else
ipfw add unreach filter-prohib log ip from any to any

# IPv6 rules:
ip6fw -f flush
# Block packets with route header
ip6fw add deny ipv6 from any to any ipv6options route
# basic stuff required for IPv6 to function:
ip6fw add allow ipv6-icmp from any to any
ip6fw add allow ipv6 from any to any via lo*
# allow outgoing
ip6fw add allow ipv6 from any to any out
# allow established in
ip6fw add allow tcp from any to any established in
# allow specific services in (see IPv4)
ip6fw add allow tcp from any to any 22,113,80,443,54321 setup in
ip6fw add allow udp from any 6002 to any 6002 in
ip6fw add allow udp from any to any 53,123 in
ip6fw add allow udp from any 53 to any in
# Deny&Log anything else:
ip6fw add unreach admin log ipv6 from any to any
# EOF

HTH,
Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen