Firewall und blockieren [mehr] Verkehr

1784
jww

Ich habe ein MacBook Pro mit eingeschalteter Firewall. Ich versuche, eine Wireshark-Spur auszuführen, und das Geräusch, das durch die Firewall von Apple läuft, ist sehr ablenkend. Laut dem Bild unten soll der Großteil dieses Rauschens blockiert sein.

enter image description here

In der Praxis stelle ich fest, dass viel Bonjour / mDNS / uPNP-Verkehr durchkommt. Ich möchte es auch schließen.

In den Dokumenten von Apple wird nicht wirklich alles aufgeführt, was zur Steuerung der Firewall nützlich ist. Zum Beispiel gibt es keine firewall(8)und ipfirewall(4)ist eine Programmierschnittstelle:

$ man -k firewall ip6fw(8) - controlling utility for IPv6 firewall (DEPRECATED) ipfirewall(4) - IP packet filter and traffic accounting ipfw(8) - IP firewall and traffic shaper control program (DEPRECATED)

Wie blockiert man jeglichen nicht eingewanderten eingehenden Datenverkehr, einschließlich promiskuitiver Protokolle wie Bonjour? (Ich muss wahrscheinlich auch ausgehenden Datenverkehr blockieren, aber ich kann es wahrscheinlich herausfinden, sobald ich gelernt habe, wie man mit der Firewall arbeitet).

0

1 Antwort auf die Frage

1
Jeremy W. Sherman

Seit 10.7 hat Apple zum Packet Filter (PF) des OpenBSD-Projekts gewechselt.

Die Paketfilterung mit PF wird durch das OpenBSD-Projekt dokumentiert .

Die Fähigkeit von PF, den Status beizubehalten, soll genau das tun, was Sie möchten: Lassen Sie den vom Host initiierten Verkehr passieren, während Sie den Rest blockieren. "Durch das Speichern von Informationen zu jeder Verbindung in einer Statustabelle kann PF schnell feststellen, ob ein durch die Firewall gehendes Paket zu einer bereits bestehenden Verbindung gehört. Wenn dies der Fall ist, wird es durch die Firewall geleitet, ohne die Regelsatzauswertung zu durchlaufen."

So kann man wahrscheinlich mit einem Regelsatz beginnen

block all pass out from any to any

damit ist alles außer dem ausgehenden Verkehr verboten. Staatseinträge werden für ausgehenden Datenverkehr erstellt, wodurch der Datenverkehr über diese Verbindung zurückgeleitet werden kann, da der Regelsatz vollständig übersprungen wird.

Das hat gerade mein Radar gemacht (ich weiß nicht, wie ich es vermisst habe). Wo bleibt der Regelsatz auf Apple-Systemen? Außerdem möchte ich SSH nur zulassen, da ich gelegentlich SSH verwenden muss. Ich möchte, dass es beim Systemstart wirksam wird. jww vor 7 Jahren 0
Es sieht so aus, als gäbe es hier eine Menge toller Details: https://pleiades.ucsc.edu/hyades/PF_on_Mac_OS_X Sie können auch eine GUI für die PF-Konfiguration wie IceFloor http://www.hanynet.com/icefloor/index.html betrachten oder Murus (davon verlinkt). Jeremy W. Sherman vor 7 Jahren 0

Verwandte Probleme