Firewall

Dieses Thema im Forum "Hardware" wurde erstellt von iArne, 18. Februar 2002.

  1. iArne

    iArne New Member

    Moin moin,

    kann mir mal bitte jemand die Geschichte mit einer Firewall inklusive Einrichtung erklären ?

    Danke

    Arne
     
  2. quick

    quick New Member

  3. hakru

    hakru New Member

    Starten einer "Firewall" beim Booten wurde heute da besprochen:
    http://62.96.227.71/cgi-bin/mac_forum/topic_show.pl?id=20526

    Es geht also noch um die Regeln, die du in dem File "/etc/ipfw.conf" abspeicherst - als simplen Textfile:

    # loopbacks for localhost
    add 1000 allow ip from 127.0.0.1 to any via lo0

    # established connections
    add 1030 allow tcp from any to any in established

    # icmp within subnet xxx.yyy.zzz.0/24
    add 1035 allow icmp from xxx.yyy.zzz.0/24 to any icmptype 0,3,4,11,12

    # ssh
    add 1040 allow log tcp from any to any 22 in setup

    # DNS
    add 1050 allow udp from any to any 53 out
    add 1060 allow udp from nameserverIP1 53 to any in recv en0
    add 1070 allow udp from nameserverIP2 to any in recv en0
    add 1080 allow udp from nameserverIP3 53 to any in recv en0

    # http
    add 1090 allow tcp from any to any 80 in setup

    # Network Time
    add 1100 allow udp from timeserverIP 123 to any 123 via en0

    # Authentication and mail
    add 1105 allow tcp from mailserverIP to any 113 via en0
    add 1106 allow tcp from mailserverIP 110 to any in recv en0

    # smb: SMBserver and smb-subnet xxx.yyy.zzz.0/24
    #add 1110 allow udp from SMBserverIP to any 137-139 via en0
    #add 1120 allow tcp from SMBserverIP to any 137-139 via en0
    #add 1130 allow udp from xxx.yyy.zzz.0/24 to any 137-139 via en0
    #add 1140 allow tcp from xxx.yyy.zzz.0/24 to any 137-139 via en0

    # afp: filesharing in subnet xxx.yyy.zzz.0/24
    add 1150 allow udp from xxx.yyy.zzz.0/24 427 to any in recv en0
    add 1160 allow udp from xxx.yyy.zzz.0/24 to any 427 via en0
    add 1170 allow tcp from xxx.yyy.zzz.0/24 to any 548 via en0

    # deny and log all other access
    add 5000 deny log all from any to any in

    so in etwa funktioniert das. Ob das wer/wann braucht, hamm' wir schon oft diskutiert ...

    hakru
     
  4. iArne

    iArne New Member

    Hat irgendjemand einen Plan welche Firewall etwas taugt und vielleicht noch einfach einzurichten ist ?

    Danke

    Arne
     
  5. gratefulmac

    gratefulmac New Member

    Zu welchem Zweck genau mußt Du deine Firewall bauen?
    Welche Dienste willst Du zulassen ,welche nicht?Wie groß und wichtig ist deine Firma?
     
  6. hakru

    hakru New Member

    ich für OSX BrickHouse und FireWalkX - such' bei www.versiontracker.com danach. Das sind recht komfortable Utilities, die aber letztlich auch nichts anderes machen als ipfw auf deinem Rechner einzurichten. "Taugen" tun beide was.

    Eigentlich ist der Weg "von Hand" wie oben beschrieben nicht so schwierig, ich kann aber gut verstehen, wenn man sich das nicht antun will. Falls Du dazu noch Fragen hast, könnte ich ja noch helfen.

    hakru
     
  7. iArne

    iArne New Member

    Moin moin,

    kann mir mal bitte jemand die Geschichte mit einer Firewall inklusive Einrichtung erklären ?

    Danke

    Arne
     
  8. quick

    quick New Member

  9. hakru

    hakru New Member

    Starten einer "Firewall" beim Booten wurde heute da besprochen:
    http://62.96.227.71/cgi-bin/mac_forum/topic_show.pl?id=20526

    Es geht also noch um die Regeln, die du in dem File "/etc/ipfw.conf" abspeicherst - als simplen Textfile:

    # loopbacks for localhost
    add 1000 allow ip from 127.0.0.1 to any via lo0

    # established connections
    add 1030 allow tcp from any to any in established

    # icmp within subnet xxx.yyy.zzz.0/24
    add 1035 allow icmp from xxx.yyy.zzz.0/24 to any icmptype 0,3,4,11,12

    # ssh
    add 1040 allow log tcp from any to any 22 in setup

    # DNS
    add 1050 allow udp from any to any 53 out
    add 1060 allow udp from nameserverIP1 53 to any in recv en0
    add 1070 allow udp from nameserverIP2 to any in recv en0
    add 1080 allow udp from nameserverIP3 53 to any in recv en0

    # http
    add 1090 allow tcp from any to any 80 in setup

    # Network Time
    add 1100 allow udp from timeserverIP 123 to any 123 via en0

    # Authentication and mail
    add 1105 allow tcp from mailserverIP to any 113 via en0
    add 1106 allow tcp from mailserverIP 110 to any in recv en0

    # smb: SMBserver and smb-subnet xxx.yyy.zzz.0/24
    #add 1110 allow udp from SMBserverIP to any 137-139 via en0
    #add 1120 allow tcp from SMBserverIP to any 137-139 via en0
    #add 1130 allow udp from xxx.yyy.zzz.0/24 to any 137-139 via en0
    #add 1140 allow tcp from xxx.yyy.zzz.0/24 to any 137-139 via en0

    # afp: filesharing in subnet xxx.yyy.zzz.0/24
    add 1150 allow udp from xxx.yyy.zzz.0/24 427 to any in recv en0
    add 1160 allow udp from xxx.yyy.zzz.0/24 to any 427 via en0
    add 1170 allow tcp from xxx.yyy.zzz.0/24 to any 548 via en0

    # deny and log all other access
    add 5000 deny log all from any to any in

    so in etwa funktioniert das. Ob das wer/wann braucht, hamm' wir schon oft diskutiert ...

    hakru
     
  10. iArne

    iArne New Member

    Moin moin,

    kann mir mal bitte jemand die Geschichte mit einer Firewall inklusive Einrichtung erklären ?

    Danke

    Arne
     
  11. quick

    quick New Member

  12. hakru

    hakru New Member

    Starten einer "Firewall" beim Booten wurde heute da besprochen:
    http://62.96.227.71/cgi-bin/mac_forum/topic_show.pl?id=20526

    Es geht also noch um die Regeln, die du in dem File "/etc/ipfw.conf" abspeicherst - als simplen Textfile:

    # loopbacks for localhost
    add 1000 allow ip from 127.0.0.1 to any via lo0

    # established connections
    add 1030 allow tcp from any to any in established

    # icmp within subnet xxx.yyy.zzz.0/24
    add 1035 allow icmp from xxx.yyy.zzz.0/24 to any icmptype 0,3,4,11,12

    # ssh
    add 1040 allow log tcp from any to any 22 in setup

    # DNS
    add 1050 allow udp from any to any 53 out
    add 1060 allow udp from nameserverIP1 53 to any in recv en0
    add 1070 allow udp from nameserverIP2 to any in recv en0
    add 1080 allow udp from nameserverIP3 53 to any in recv en0

    # http
    add 1090 allow tcp from any to any 80 in setup

    # Network Time
    add 1100 allow udp from timeserverIP 123 to any 123 via en0

    # Authentication and mail
    add 1105 allow tcp from mailserverIP to any 113 via en0
    add 1106 allow tcp from mailserverIP 110 to any in recv en0

    # smb: SMBserver and smb-subnet xxx.yyy.zzz.0/24
    #add 1110 allow udp from SMBserverIP to any 137-139 via en0
    #add 1120 allow tcp from SMBserverIP to any 137-139 via en0
    #add 1130 allow udp from xxx.yyy.zzz.0/24 to any 137-139 via en0
    #add 1140 allow tcp from xxx.yyy.zzz.0/24 to any 137-139 via en0

    # afp: filesharing in subnet xxx.yyy.zzz.0/24
    add 1150 allow udp from xxx.yyy.zzz.0/24 427 to any in recv en0
    add 1160 allow udp from xxx.yyy.zzz.0/24 to any 427 via en0
    add 1170 allow tcp from xxx.yyy.zzz.0/24 to any 548 via en0

    # deny and log all other access
    add 5000 deny log all from any to any in

    so in etwa funktioniert das. Ob das wer/wann braucht, hamm' wir schon oft diskutiert ...

    hakru
     
  13. iArne

    iArne New Member

    Hat irgendjemand einen Plan welche Firewall etwas taugt und vielleicht noch einfach einzurichten ist ?

    Danke

    Arne
     
  14. gratefulmac

    gratefulmac New Member

    Zu welchem Zweck genau mußt Du deine Firewall bauen?
    Welche Dienste willst Du zulassen ,welche nicht?Wie groß und wichtig ist deine Firma?
     
  15. hakru

    hakru New Member

    ich für OSX BrickHouse und FireWalkX - such' bei www.versiontracker.com danach. Das sind recht komfortable Utilities, die aber letztlich auch nichts anderes machen als ipfw auf deinem Rechner einzurichten. "Taugen" tun beide was.

    Eigentlich ist der Weg "von Hand" wie oben beschrieben nicht so schwierig, ich kann aber gut verstehen, wenn man sich das nicht antun will. Falls Du dazu noch Fragen hast, könnte ich ja noch helfen.

    hakru
     
  16. iArne

    iArne New Member

    Hi Leute

    ich habe keine Firma oder so, ich beschäftige mich einfach mit dem Thema. Aus Interesse!

    Wie richte ich denn diese Proggis ein ?

    Arne
     
  17. Thomas Treyer

    Thomas Treyer New Member

    Ein Firewall lässt manche Pakete durch und manche eben nicht. Die ganzen Programme realisieren die Filterfunktionen sozusagen "programmtechnisch". Welche Pakete du nun aber filtern willst, musst du selber wissen. In der aktuellen c't gibt es dazu einen Artikel.

    Solange du nicht weisst, welche Pakete du filtern willst, nützen dir die Programme gar nichts. Es gibt zwar "Personal Firewalls", die dir eine Grundkonfiguration verpassen, aber diese Konfiguration ist prinzipiell nicht besser als die Grundeinstellung von OS X.

    Thomas
     

Diese Seite empfehlen