Firewall die 2te

[siryasokuhl]

Hallo nochmal,

da mir ja der andere Thread geschloßen wurde, muss ich halt nen neuen Aufmachen. ^^

Okay Also das mit dem ipfw klappt jetzt wunderbar.

Diese Zeilen bringen mich soweit auch schon ans Ziel,

sudo ipfw add 661 deny tcp from any to any 2222 in

sudo ipfw add 662 deny tcp from any to any 2222 out

sudo ipfw add 663 deny udp from any to any 2222 in

sudo ipfw add 664 deny udp from any to any 2222 out

ABER:

Die Einstellungen sind nur temporär und gehen bei einem neustart verloren.

Wie knn man sowas denn feste ins System eintragen???

Die sudo's sind, weil auf den Rechner der Root nicht freigschalten ist.

Und das somit die Einzige möglcihkeit bietet, den Befehl auszuführen.

Ich wurde mich sehr freuen, wenn Ihr mir dabei weiterhelfen könntet.

Wie immer schonmal ein Danke im Voraus

[volker81]

Vllt kannst du damit eine command-file erstellen, die du einfach bei allen Benutzern zu den Startobjekten packst?!

Wäre so meine Idee.

Mal warten was Mac-Gott Ganymed sagt

[siryasokuhl]

command datei hab ich schon versucht, auch das mit dem sticky-bit

aber leider bleibt dann immer das Terminal fenster offen auf der GUI

Das fenster zeigt zwar an, das der Prozess beendet ist, und läßt keine Action mehr zu, aber es bleibt halt einfach sichtbar stehen.

Und das will ich den Usern nicht zumuten, daß se beim start gleich ein Fenster zu machen müßen.

Denn die Reaktion wäre bestimmt.

"neues" - "oh gott da is was beendet" - "am ende ein fehler" - "glecih den Admin rufen"

Klingt zwar blöde, ist aber eigntlich immer so bei uns :/ .

Deswegen Such eich eine Möglichkeit, das ganze so hinzubiegen, daß der User nichts mitbekommt.

Sowas ist immernoch das Beste.

[KlausZettel]

Auf MacDevCenter.com ist eine Anleitung zum Einrichten der Firewall. Am Ende wird auch auf das Starten der Firewall eingegangen.

Von Jaguar zu Tiger hat sich anscheinend die Syntax geändert. Deshalb ist sicher auch diese Anleitung wichtig.

Flying Buttress ist ein Shareware-Programm und ein Frontend für ipfw. Man kann einiges ausprobieren und die Einstellungen im Experten-Modus anzeigen lassen. Diese Einstellungen könnte man dann ins eigene Skript übernehmen.

[tobias-digital]

Hi!

Wer es ein bißchen einfacher haben will, dem kann ich wärmstens "Little Snitch" empfehle: http://www.obdev.at/products/littlesnitch/index.html

Grüße, Tobias

BTW @volker81: wohl eher "Mac-Göttin Ganymed"

[KlausZettel]

Hallo Tobias,

das Programm hatte ich heute nachmittag mal ausprobiert.

Das Programm ist wirklich benutzerfreundlich. Allerdings muss man dazusagen, dass nur die ausgehenden Verbindungen überprüft werden.

[Ganymed]

Rischtisch - Mac-Göttin Aber danke fürs Kompliment

Also Die OS X Firewall ist ja eigentlich nur die GUI für das ipfw. Was mich daher verwundert, dass die Regel nicht automatisch geladen wird.

Könntest du nochmal im GUI der Firewall in den Systemeinstellungen nachschauen, ob auch wirklich alles eingeschaltet ist? Wenn in der GUI die Firewall aus ist, kann es sein, dass die auch nicht anständig geladen wird.

Ansonsten kann ich dir, wie schon geschrieben, Little Snitch oder (Shareware) Brickhouse als alternative Frontends anbieten

Beim Einstellen der Firewall kann es dann vorkommen, das OSX dir den Diesnt verweigert, weil du an ipfw selbst rumgefrickelt hast.

Dann einmal

sudo ipfw flush

eingeben und es erneut versuchen.

Genauere Infos kann ich dir aber nicht geben, da ich mich bisher mit der Standard Firewall zufreiden gegeben hab

Ansonsten bliebe mir als Idee auch nur die "billige" Lösung eines StartUpItems übrig

Edit: Hab noch eine Klasse Seite auf Deutsch im Netz gefunden:

http://www.maceis.chaos-net.de/firewall/ipfw-1.html

Vielleicht vergleichst du mal, ob du auch alles genauso gemacht hast

Da ist auch der von mir schon beschriebene Fehlerfall mit dem "Dienst verweigern" von oben mit aufgeführt

[siryasokuhl]

guten Morgen,

Ich habe festgestellt, das es zwischen 10.3 und 10.4 doch einen gößeren Unterschied bei der Firewall gibt.

Bei 10.4 gibt es einen Menüpunkt "erweiterte Einstellungen" bei dem man das ganze so einstellen könnte wie ich es wollte.

ABER:

Die Rechner haben alle nur 10.3 und da fehlt eben dieser Menü-Punkt.

Und das nächste Problem ist, wenn ich die Firewall-Regeln mit ipfw eingebe, dann wird mir die GUI firewalleinstellung ausgegraut.

"Es ist bereits eine andere Firewall aktiv"

Und jetzt werde ich mir mal die ganzen links anschaun die ihr gepostet habt.

Soweit schonmal Danke und ich melde mich dann nochmal

Gruß YASO

[Ganymed]

"Es ist bereits eine andere Firewall aktiv"

Das ist genau die Fehlermeldung, die ich meinte

Guck mal die Deutsche Anleitung an, die haben das sehr gut beschrieben. :beagolisc

Liegt wie gesagt daran, dass du händisch die Regeln geändert hast.

[volker81]

Rischtisch - Mac-Göttin Aber danke fürs Kompliment

Ganymed klingt so "geschlechtsneutral", da geht "Mann" halt eher mal von einem männlichen Boardmember aus

Siehe Männer/Frauen-Verteilung in der IT.

Dann halt Mac-Göttin. Egal

[siryasokuhl]

so jetzt geht alles ^^

Eignetlich hätte es schon viel früher funktioniert, ich habe nur nicht in der Startupparameter.plist nicht angegeben, dass mein skript später gestartet werden soll und deswegen hat die "deaktivierte" Firewall dann meine Einstellunen wieder überschreiben und ein allow any to any eingefügt.

So sieht das aus:

{

Description = "firewall";

Provides = ("Firewall");

Requires = ("NetworkExtensions","Resolver");

OrderPrefernce = "Late";

Messages =

{

start = "Starting Firewall";

stop = "Stopping Firewall";

};

}

und dann Klappt das auch.

Die Idee hab ich aus dem Link vom Klaus.

Aber der Ansatz mit dem Flush war auch nicht schlecht.

Auf alle Fälle nochmal an alle ein dickes Dankeschön

(Egal ob Gottheit oder sterblich)

Gruß Yaso