Hi pepi und so
Also ich bin mir derzeit bei Leopard gar nicht sicher, ob überhaupt eine spezielle Firewall nötig ist. Ein Packetfilter wie die ipfw dient normalerweise der Netzwerktrennung. Somit ist es nicht unbedingt aus Sicherheits-Architektur betreffender Sicht von Nöten manuell zu restriktivieren. Unix, auch Apple OS Leopard, schließen Ports automatisch, die nicht benötigt werden.
Ob die derzeitige Implementation der einzelnen Services ausreicht... ist eine Frage für sich, wenn wir über so was reden.
Was definitiv wieder mal ein Griff ins Klo war ist der incoming-Traffic Kontroll-Kram. Was soll denn so was? Wenn da wirklich alle Programme, die da nicht als erlaubt stehen, keinen eingehenden Datenverkehr bekämen, dann würden speziell Tools wie ping oder traceroute im Terminal nicht mehr funktionieren. Dies tun sie aber. Selbst paratrace, hping usw. funktionieren... ohne Eintrag.
Aus software-ergonomischer Sicht sieht dieses Zeug jedenfalls aus wie Bullshit. Die sonst recht gut gewordene Hilfe ist hier ein Witz! Anscheinend hat Apple immer noch nichts dazugelernt, denn obskur ist und bleibt so was.
Auf mich wirkt so was jedenfalls seltsam, aber es ist andererseits auch so: der User schreit nach ner Firewall und schreined dumme sogenannte "Fachmagazine" sind weder in der Lage das Ganze gesamt zu betrachten, noch das System selbst zu verstehen; doch da liegt die werbemachende Drittmacht Presse.
Das Feature zu haben heißt nämlich noch nicht, dass es bei einem System, das sich verkaufen soll, benötigt wird.
Hier mal ein Skript von mir, das ich nur Leuten empfehle, die wissen, was drin steht:
Code:
#/bin/zsh
#
ipfw add 00100 allow ip from any to any via lo*
ipfw add 00110 deny ip from 127.0.0.0/8 to any in
ipfw add 00120 deny ip from any to 127.0.0.0/8 in
ipfw add 00130 deny ip from 224.0.0.0/3 to any in
ipfw add 00140 deny tcp from any to 224.0.0.0/3 in
ipfw add 01000 allow ip from any to me dst-port 22 in
ipfw add 01100 allow tcp from any to any out
ipfw add 01100 allow tcp from any to any established
ipfw add 01200 deny ip from any to any ipoptions rr
ipfw add 01300 deny ip from any to any ipoptions ts
ipfw add 01400 deny ip from any to any ipoptions lsrr
ipfw add 01500 deny ip from any to any ipoptions ssrr
ipfw add 01700 deny tcp from any to any tcpflags syn,fin
ipfw add 01710 deny tcp from any to any tcpflags syn,rst
ipfw add 01720 deny tcp from any 0 to any
ipfw add 01730 deny tcp from any to any dst-port 0
ipfw add 01740 deny udp from any 0 to any
ipfw add 01750 deny udp from any to any dst-port 0
ipfw add 01760 deny ip from 224.0.0.0/4 to any in
ipfw add 01770 deny ip from 0.0.0.0/8 to any
ipfw add 65534 deny tcp from any to any
ipfw add 65535 allow ip from any to any
# ipfw pipe 1 config bw 210Kbit/s queue 50 delay 0ms
Somit macht die ipfw jedenfalls Sinn... aber ob das Sinn macht, es anzuwenden, weiß ich nicht. Ich machs einfach mal. Liegt mehr oder weniger daran, dass ich mich für den Kram interessiere. Aus Nutzersicht ... hmmh... nötig... eher nicht.
Das seh ich unter Tiger aber wieder anders.
Gruß,
Bier