ipfw

20/04/2010 - 08:28 von Basar Alabay | Report spam
Ich hàtte dieses Posting jetzt auch nach *internet setzen können, doch
betrifft es bei mir nur das lokale Netz, daher hier.

Ich habe aus bestimmten Gründen die Firewalls einiger Rechner bei mir
wieder in Betrieb genommen. Bei OS 10.4-Rechnern ist das rein die
ipfw-Geschichte, bei den 10.5 und 10.6 Maschinen die Appfirewall plus
die ipfw. Für letzteres habe ich mir NoobProof und WaterRoof besorgt.

Nun habe ich mich auch mehrmals durch die man-Seiten und durch x
"Foreneintràge" gelesen, bin aber mit manchem immer noch etwas unschlau
...

Zwar blockt die FW des Routers schon mal ganz gut nach außen ins
Internet, ich habe aber erstens einen Unsicherheitsfaktor im eigenen
Netz (den ich nicht einfach entfernen kann ;-)) und muß außerdem die
mobilen Geràte eh immer wieder in universitàren Netzen betreiben.

NoobProof ist ja ganz nett so für den Anfang, aber es scheint mir immer
darauf hinauszulaufen, daß es eher geeignet ist, alles durchzulassen,
außer, was man verbietet. Alles zu verbieten, außer, was man durchlàßt,
ist mir noch nicht so gut gelungen, da ich den Rechner dann anscheinend
zu sehr vom Netz abschneide.

Nur weiß ich jetzt nicht, was da alles nötig ist. Ja, 80, 443, 110 ...
bekannt, aber ab und zu kommen ja auch mal 8181 oder sonstwelche
murxigen Dinge, die benötigt werden. Das mit dynamischen regeln habe ich
gar nicht kapiert.

Nun habe ich aber gesehen, daß unter 10.4 die "einfache" Variante der FW:

allow from tcp any to any out
allow from tcp any to any established
allow from tcp any to any frag

anlegt.

Danach kann man wohl mit einem

deny from tcp to any any

zumachen.

Warum scheint das in NoobProof nicht vorgesehen zu sein? Muß man das
dediziert immer selber manuell anlegen? Und wie funktioniert das dann
genau? Was es heißt, weiß ich, aber wie làuft das?

Ich meine, Little Snitch und die App-FW haben ja Dialoge, genau das
fehlt halt bei der ipfw. Insofern verstehe ich das z.B. mit diesem state
und dynamischen regeln nicht. Und wie wird das dann mit schon
bestehenden Verbindungen gehandhabt?

Ganz abgesehen davon, warum muß das so geekig sein? :-/ Mir scheint
dieser Aspekt von "Sicherheit" kaum für den Volksgebrauch aufbereitet zu
sein, und die ipfw ist von Apple ja sogar abgehàngt worden, wieso
eigentlich?

B. Alabay
 

Lesen sie die antworten

#1 Kristian Domke
20/04/2010 - 09:25 | Warnen spam
Am 20.04.2010 08:28, schrieb Basar Alabay:

Nun habe ich aber gesehen, daß unter 10.4 die "einfache" Variante der FW:

allow from tcp any to any out
allow from tcp any to any established
allow from tcp any to any frag




Ohne jetzt die Eigenheiten der Mac OS Firewall zu kennen würde ich die
Regeln wie folgt deuten:

* Erlaube dem eigenen Rechner TCP-Pakete zu allen anderen Rechnern
(Server) zu verschicken.
* Erlaube anderen Rechnern auf diese Pakete zu antworten.
* Erlaube eine Fragmentierung dieser Pakete.

Wenn du also deinem eigenen Rechner nicht mißtraust, bist du mit der
Konfiguration sicher. Das ist übrigens durchaus eine übliche
Konfiguration, zumindest im privaten Bereich, und das ist in meinen
Augen auch nichts gegen zu sagen.

deny from tcp to any any

zumachen.

Warum scheint das in NoobProof nicht vorgesehen zu sein? Muß man das
dediziert immer selber manuell anlegen? Und wie funktioniert das dann
genau? Was es heißt, weiß ich, aber wie làuft das?



Weil du mit dieser Regel genausogut das Netzwerkkabel ziehen könntest.
Du verbietest alle Verbindungen von und zu deinem Rechner.


Ich meine, Little Snitch und die App-FW haben ja Dialoge, genau das
fehlt halt bei der ipfw. Insofern verstehe ich das z.B. mit diesem state
und dynamischen regeln nicht. Und wie wird das dann mit schon
bestehenden Verbindungen gehandhabt?



Das ist die "established"-Regel. Die erlaubt Pakete, die zu bereits
bestehenden Verbindungen gehören das durchkommen.


Ganz abgesehen davon, warum muß das so geekig sein? :-/ Mir scheint
dieser Aspekt von "Sicherheit" kaum für den Volksgebrauch aufbereitet zu
sein, und die ipfw ist von Apple ja sogar abgehàngt worden, wieso
eigentlich?



Was meinst du mit abgehàngt?

Das sicherste ist einfach, wenn der eigene Rechner keine Dienste nach
außen anbietet. Also in der Systemsteuerung unter Freigaben einfach alle
Haken raus. Dann brauchst du dir um die Firewall auch keine Gedanken
mehr zu machen. Meines Wissens ist es seit langem (5-8 Jahren?)
niemandem mehr gelungen einen Rechner, gleich welchen Betriebssystems
ohne angebotene Dienste aufzumachen.

Kristian

Ähnliche fragen