web-dev-qa-db-ja.com

Macintoshのどのファイアウォール設定が最も制限的で、カジュアルなインターネット使用も許可していますか?

これを主観的にしたくないので、要件をできるだけ明確にするようにします。

Snow Leopardを搭載したMacで、ファイアウォールルールセットのみを許可するように設定するにはどうすればよいですか。

標準のブラウザー(Safari、Chrome、Firefox)、ソフトウェアの更新、Skype、iTunes、およびftpアクセスを介してインターネットを使用して、データをWebサイトにアップロードします。

Mobile Me、iCal、アドレス帳、iChatなどは必要ありません。

Ftpアクセスでファイアウォールに大きな穴が開いた場合は、別のPCを使用してアップロードを実行したいのですが、そのためにポートを開くだけでいいと思いますよね?

したがって、基本的には、他のすべてがブロックされます。

私が探しているルールセットの例は、ivp4とivp6の両方について、ipv4、127.0.0.0/8からanyへのipの拒否です。

ファイアウォールのドキュメントの多くを読み、いくつかのサイトの情報を検索しましたが、セキュリティの初心者にとっては非常にわかりにくいものです。

networkfirewallsmacos
11
TigerCoding

この table によると、ソフトウェアの更新はHTTPプロトコルと同じポートを経由するため、実際にはポート80を開く必要があります。ポート80に加えて、次のことをお勧めします。

  • 443-> HTTPS
  • 22-> SSH
  • 115-> SFTP(それができる場合は通常のFTPを使用しないでください。その偏執狂の場合はSFTPを使用してください。それ以外の場合は20 *を使用してください)
  • 587-> Authenticated SMTP(該当しない場合は25を有効にする*)
  • 993-> SSL IMAP(該当しない場合は143を有効にする*)
  • 995-> SSL POP(該当しない場合は110を有効にする*)

*これらは、同じプロトコルの非セキュアバージョン用のポートです

Mailも使用しない場合は、25、143、110、587、993、995をリストから削除できます。 SSHを使用しない場合は、22を削除することもできます。

ITunesについて:

iTunes自体はポート80を使用するため、すでに設定されています。 iTunesストアはすでに開いているSSL(つまり443)を使用しています。Airplayも80を通過します。これらの機能を使用する場合は、次のポートも開く必要があります。

  • 3689-> iTunesミュージック共有
  • 8000-8999; 42000-42999-> iTunesラジオストリーム

Skypeについて:

Skypeの フォーラム によると、Skypeは設定に応じてポート80または443を使用します。

おそらく気に入らないのは、多くのサービス(mobilemeとicalサービスもポート80を使用しているため、ポートブロッキングのみですべてをブロックすることはできない)です。

7
Mike

30ドルでLittle Snitchhttp://www.obdev.at/products/littlesnitch/index.html を購入します。

Little Snitchは、プログラムが発信インターネット接続を確立しようとするたびに通知します。次に、この接続を許可するか拒否するかを選択したり、同様の将来の接続試行を処理する方法のルールを定義したりできます。これにより、知らないうちに個人データが送信されるのを確実に防ぎます。 Little Snitchはバックグラウンドで目立たないように実行され、ウイルス、トロイの木馬、その他のマルウェアのネットワーク関連のアクティビティも検出できます

そしてあなたのシステム設定で|セキュリティ|ファイアウォール、ファイアウォールがオンになっていることを確認し、[詳細設定]を選択して、[すべての受信接続をブロックする]をチェックします。

ウルトラパラノイドサーフィンの場合は、VMware Fusionhttp://www.vmware.com/products/fusion/ )を購入してください、選択したOSを仮想マシンにインストールし、それをサーフィンに使用します。暗闇の中でブラウジングを繰り返した後、revertを押して仮想マシンを未使用の状態に復元できます。また、複数の仮想マシンを構築し、手元のタスクに適切な仮想マシンを使用することもできます(たとえば、銀行業務を行う場合は仮想システムA、卑劣な活動を行う場合は仮想システムX)。

7
Tate Hansen

Ipfwルールセットに以下の追加を検討してください:

  1. ipfw add deny ip in any to any not verrevpath in-パケットがシステムに入ったインターフェースがルートの発信インターフェースと一致することを確認します(ルールセットの最上部に配置するのが最適です)
  2. ロギング-何がブロックされているのか、なぜ発生しているのかを理解するためにルール自体と同じくらい重要です。分析に役立つアプリケーションがあります。このボードには他にも topics と推奨事項があります。
  3. ipfw add check-state-ポート/プロトコルの制限に加えて、内部で開始された接続と一致する接続のみをipfwに許可します。

出典: IPFW Man Page

4
lew

家に侵入し、ホームルーターにマルウェアをインストールするリソースを持つ誰かから本当に保護しようとしていると仮定すると、ファイアウォールはまったく役に立ちません。

「彼ら」がホームルーターを危険にさらす可能性がある場合、それらはChrome、Safari、Skype、および使用しているネットワークツールのバグを検出し、システム上でコードを実行するこれらの手段を通じて可能です。

あなたが本当に助けが欲しいなら-あなたが政府の圧力の下である種の人権活動家であると仮定して-ファイアウォールの設定を手伝う代わりに実際の状況を説明する新しい質問を始めてください。

2
Alex Holst