Ich möchte bezgl. einer persönlichen Firewall (aka Paketfilter auf dem zu schützenden Rechner) noch mal auf folgendes BHB hinweisen:
Netzwerke, Ports, Netzwerk-Dienste und FirewallsNoch mal kurz zusammenfassend auf Deine Problematik:
- Wenn man einen NATenden Router verwendet (das sind praktisch alle, die heutzutage für Privatkunden angeboten werden und auch leicht daran erkennbar, dass mehrere Rechner gleichzeitig über eine normale Leitung für Privatkunden aufs Internet zugreifen können), dann sind eingehende Verbindungen von außen (Internet) auf den eigenen Rechner prinzipiell nicht möglich. Die Anfragen landen ja beim Router, der weiß aber nicht, an welchen lokalen Rechner das gehen soll und schmeisst die Anfragen weg. In dem Fall ist eine persönliche Firewall (Paketfilter) sowohl im Router als auch auf dem eigenen Rechner völlig überflüssig. Eingehende Verbindungen gelangen nur(!) dann von außen an den eigenen Rechner, wenn man absichtlich(!) im Router eine Port-Weiterleitung eingestellt hat, damit der Rechner vom Internet aus erreichbar ist. Diese Verbindung dann zu blocken wäre allerdings schizophren.
- Prinzipiell sind persönliche Firewalls=Paketfilter auf einem Rechner in den meisten Fällen unsinnig. Wenn ein Datenpaket an den Rechner gelangt, dann wird das eh weggeworfen, wenn auf dem Rechner kein entsprechend horchendes Programm läuft (Netzwerkdienst). D.h. eine persönliche Firewall setzt einfach vor eine Wand (nicht existierender Dienst) noch einmal einen geschlossenen Fensterladen. Oder eben einen Fensterladen vor ein Fenster (laufender Netzwerkdienst). Da ein laufender Netzwerkdienst aber üblicherweise nutzbar sein soll, wird in die persönliche Firewall ein Loch als Ausnahme eingestellt, also quasi ein offener Fensterladen vor einem Fenster. D.h. im Endeffekt blockt die Firewall dort, wo es eh unnötig ist und lässt dort durch, wo auch was ist. Also überflüssig.
Warum dann aber eine persönliche Firewall? Es gibt zwei Fälle, bei denen sie sinnvoll sein kann, wobei in beiden Fällen der Rechner nicht(!) hinter einem Router steht oder nicht einzige Rechner hinter dem Router ist:
1. Man hat zwar einen Netzwerkdienst gestartet, der aber nur lokal benutzt werden soll, und man hat keine Lust den Netzwerkdienst einfach korrekt, d.h. nur lokal nutzbar, zu konfigurieren (z.B. Apache zum lokalen Testen). Dann kann man den Zugriff von aussen auf dieses Fenster schliessen. Besser wäre es allerdings trotzdem, den entsprechenden Dienst richtig zu konfigurieren, denn dann bräuchte man nicht zusätzlich blocken.
2. Auf dem Rechner laufen Netzwerkdienste, über die man keine Kontrolle hat, d.h. man hat sie nicht selber gestartet und kann sie auch nicht entfernen, und auf diese soll niemand zugreifen können. Das war immer das Problem unter Win und daher war der Rat dort eine persönliche Firewall einzuschalten auch notwendig. Bis Tiger ist mir nicht bekannt, dass Netzwerkdienste ohne Willen des Benutzers laufen. In dem heise-Artikel steht jedoch, dass das bei Leopard anders sein soll. Kann ich nicht überprüfen, fände ich aber arg bedenklich.
Also:
Rechner alleine hinter NATendem Router: persönliche Firewall überflüssig.
Rechner mit mehreren anderen (evtl. unsicheren) Rechner hinter dem Router oder ohne Router direkt am Internet: persönliche Firewall nur für Fall 1 und 2 oben sinnvoll.
Ist es sinnvoll den Tarn-Modus zu aktivieren?
Nein.
Erstens ist es gegen die Standards und verursacht dadurch zusätzliche überflüssige Datenpakete.
Zweitens sinnlos, da ich durch das Fehlen der Antwort sehen kann, dass da jemand einen Tarnmodus eingeschaltet hat.
Diese Einstellung hat sich nur so verbreitet, weil sich irgendwann mal irgendwer vorgestellt hat, dass man nicht sichtbar wäre, wenn man keine Antwort gibt. Allerdings ist das Gegenteil der Fall.
Hat sich aber bei vielen persönlichen Firewalls als Option eingebürgert, ebenso wie der Spruch, den man oft bei eBay liest mit der angeblichen Gewährleistungs-/Garantiepflicht nach neuem EU-Recht...
