Netbarrier und Apples Firewall

[Jochen]

Nutze Airport um vom PB über meinen Powermac ins Internet zu kommen.

In Netbarrier auf dem Powermac habe ich mein PB bei Vandalismus in Vetrauenswürdige Gruppe gelistet.

Wenn ich in Apples Systemerweiterung die Firewall aktiviere, funktioniert es nicht mit dem Zugriff aufs Internet.

Was muss denn in den Systemerweiterung beim Powermac bei aktivierter Firewall angehakt sein, damit es funtioniert.

"Personal Web Sharing (80, 427)"

Jochen

[Thyrfing]

Im Tiger hätte ich diese Einstellung zu bieten.

[Jochen]

Im Tiger hätte ich diese Einstellung zu bieten.

Internet Sharing habe ich ja auf dem Powermac aktiviert.
Mit dem PB greife ich ja via Airport auf den Powermac zu und komme ins Internet.
Da klappt ja auch problemlos.

Wenn ich allerdings auf dem Powermac die Firewall einschalte, kann ich NICHT mehr vom PB auf Internet zugreifen.

Jochen

[Thyrfing]

Also, erstmal ist es schlecht, NetBarrier und die Apple FW gleichzeitig zu benutzen. Dann musst du, soweit ich das beurteilen kann, dein PB nicht in die Liste der "vertrauenswürdigen" Dinge aufnehmen, du brauchst nur die Regeln für NetBarrier auf Server einstellen. Es gibt da vorgefertigte Regelwerke in NB.

Zum Testen: Schalte NB auf Durchzug, also keine Einschränkungen und schalte dann die Apple FW ein. Natürlich mit Internetsharing.

[MacFlieger]

Jochen, die Frage von Dir hatten wir doch schon mehrfach.

Internet Sharing und die Apple Firewall zusammen funktioniert nicht, weil die Apple Firewall alle Kontaktversuche von außen, also auch die vom PB, blockt.
Du müßtest entweder alle Port freigeben, was die Firewall effektiv abschaltet, oder besser nur für das PB alle Ports freigeben. Beides kann man mit der GUI von OS X nicht machen. Die GUI von OS X bietet ja nur rudimentäre Einstellmöglichkeiten der Apple Firewall. Wesentlich feiner kann man die Apple Firewall mit Brickhouse einstellen. Aber bitte, laß es.

Wie Thyrfing schon schrieb, ist es absolut sinnlos zwei Firewalls gleichzeitig laufen zu lassen. Mehr Sicherheit bietet es nicht und die beiden kommen sich allerhöchstens in die Quere.

Wier schon mehrfach erwähnt: Besorg' Dir einen WLAN-Router. Die gibt es günstig bei eBay oder bei einem neuen Provider-Vertrag. Dieses Internet-Sharing ist nur eine Krücke für den Notfall mit vielen Nachteilen.

Tschö, MacFlieger.

[MacFlieger]

Noch was zu NetBarrier:
Ich halte NetBarrier für die allermeisten Privat-Leute für überflüssig, nein, sogar für kontraproduktiv. Warum?
- Wer einen Router benutzt, benötigt auf dem Computer keine zusätzliche Firewall.
- Wer keinen Router benutzt, hat meistens einen Einzel-Computer, der überhaupt keine Dienste anbietet,  und braucht daher auch keine Firewall.

Wenn man aber doch eine Firewall zur Sicherheit haben möchte:
- Die Apple Firewall blockt alle Verbindungen von außen, außer denjenigen, die man absichtlich erlaubt. Mehr muß eine Firewall nicht können oder tun.
- NetBarrier bietet viele tolle Berichte und Einstellmöglichkeiten. Aber wofür bei einem Privatanwender? Der will alles blocken und gut. Es ist völlig überflüssig, sich anzuschauen, was geblockt wurde. Solche Berichte bauen Softwarehersteller nur ein, um dem Anwender zu demonstrieren, wie gut und wichtig seine Software ist.
- Da NetBarrier so viele Möglichkeiten zur Einstellung hat, muß man sich auch damit beschäftigen und wissen, was man da tut. Wenn man sich nicht mit den zugrundeliegenden Netzwerken auskennt, hat man sich schnell ein Loch in der Firewall geöffnet, weil ansonsten was nicht funktioniert. Z.B. hast Du das PB in vertrauenswürdiger Gruppe bei Vandalismus eingeordnet. Weißt Du eigentlich, was das genau bedeutet und hast Du das aus diesem Grund eingestellt oder hast Du das einegstellt, weil das Internet-Sharing sonst nicht funktionierte? Ich vermute letzteres, d.h. dann Du hast die Firewall in einem nicht bekannten Ausmaß deaktiviert.

Ärgerlich ist leider, daß die Apple Firewall und Internet Sharing nicht zusammen können. Eindeutig ein Bug. Aber: Besorg Dir einen Router, Firewall/NetBarrier ist überflüssig und gut.

[Florian]

Sehe ich genauso wie MacFlieger.

Dann kannst Du den PowerMac auch mal ausschalten und mit dem Power Book trotzdem ins Netz. Oder mit irgendeinem anderen Rechner. Außerdem haben viele Router eine besser einstellbare Firewall als OS X und v.a. eine bessere Dokumentation.
Mal davon abgesehen, wie viel Zeit und Mühe Du schon auf NetBarrier und die Apple-Firewall verwendet hast! Das ist alles komplizierter gelöst als notwendig.

[Thyrfing]

Der einzige Vorteil von NetBarrier ist, dass man auch den ausgehenden Datenverkehr unterbinden kann. Na ja, aber seit Monaten habe ich das nicht mehr installiert und bin mit der eingebauten Firewall auch glücklich. Ausserdem gehen wir hier eh mit einem Router in das Netz, also auch das unnötig. Beruhigt aber...

[Jochen]

Ich muss Euch gestehen, so ganz verstehe ich das mit der Firewall nicht.

Bisher hatte ich mir folgendes vorgestellt.

Analogie:

Hafen ist der Rechner.
Vor dem Hafen gibt es die 3 Meilen Zone.
Da patroulliert der Zoll und kontrolliert die ankommenden Schiffe, die Pakete geladen haben.
Die Pakete haben Frachtpapiere und die kontrolliert der Zoll.

Da muss zum Beispiel draufstehen

Absender:
Empfänger:
Inhalt:

Nun ein konkretes Beispiel A)

Absender: Obstplantage in Afrika
Empfänger: Grossmarkt in Frankfurt
Inhalt: Bananen

Also unverdächtig, durchlassen ;-)

Nun ein konkretes Beispiel B)

Absender: Firma in Grönland
Empfänger: Grossmarkt in Frankfurt
Inhalt: Bananen

Hmmm, ganz stimmt da was nicht. Bananen aus Grönland ? Besser nachschauen.

Nun ein konkretes Beispiel C)

Absender: Firma in Grönland
Empfänger: Uhrmachergeschäft in Frankfurt
Inhalt: Bananen

Nicht durchlassen, da ist bestimmt was faul.

Der Zoll = Firewall guckt aber nicht IN die Pakete !!!

Jochen

[warlord]

Also das Grundprinzip der Risikoanalyse des Zolls hast Du begriffen. 

[Chucky]

Vielleicht erklärt dir dieser Artikel das Grundlegende einer Firewall.

[MacFlieger]

Hafen ist der Rechner.
Vor dem Hafen gibt es die 3 Meilen Zone.
Da patroulliert der Zoll und kontrolliert die ankommenden Schiffe, die Pakete geladen haben.

Und bereits der erste Fehler in Deiner Analogie. Bei einer echten Firewall ist es tatsächlich so, denn die läuft nicht auf deinem Rechner (in Deinem Hafen), sondern vorher (in der Dreimeilen-Zone). Deine beiden Firewalls (NetBarrier und Apple Firewall) sind eigentlich streng genommen keine Firewalls, sondern Paketfilter und die laufen auf dem zu schützenden Rechner, d.h. erst werden die Schiffe in den Hafen gelassen und dort(!) dann geprüft. Sicherlich besser als kein Schutz, aber nicht so sicher wie eine echte Firewall.

Ich wiederhole mich:
- Wer einen Router benutzt, benötigt auf dem Computer keine zusätzliche Firewall. Pakete von außen (fremde Schiffe) werden überhaupt nicht in den Hafen gelassen, weil der Zoll (Router) nicht weiß in welchen Hafen (Rechner) er die schicken soll.
- Wer keinen Router benutzt, hat meistens einen Einzel-Computer, der überhaupt keine Dienste anbietet,  und braucht daher auch keine Firewall. Wer keinen Dienst laufen hat, der hat überhaupt keine Anlegestellen!

Und nochmal:
- Die Apple Firewall blockt alle Verbindungen von außen, außer denjenigen, die man absichtlich erlaubt. Mehr muß eine Firewall nicht können oder tun. D.h. der läßt keine Schiffe von außen rein, was will man mehr?
- Da NetBarrier so viele Möglichkeiten zur Einstellung hat, muß man sich auch damit beschäftigen und wissen, was man da tut. Wenn man sich nicht mit den zugrundeliegenden Netzwerken auskennt, hat man sich schnell ein Loch in der Firewall geöffnet, weil ansonsten was nicht funktioniert. Z.B. hast Du das PB in vertrauenswürdiger Gruppe bei Vandalismus eingeordnet. Weißt Du eigentlich, was das genau bedeutet und hast Du das aus diesem Grund eingestellt oder hast Du das eingestellt, weil das Internet-Sharing sonst nicht funktionierte? Ich vermute letzteres, d.h. dann Du hast die Firewall in einem nicht bekannten Ausmaß deaktiviert. Beantworte doch bitte mal die Frage und denk darüber nach. Du vergeudest viel zeit und Energie für eine völlig überflüssige Sache, die die nur Probleme macht und keinen(!) Vorteil bringt.

Der Zoll = Firewall guckt aber nicht IN die Pakete !!!

Und was willst Du mit Deinem Beispiel sagen???

[radneuerfinder]

Ich verstehs auch nicht. 

Und zwar:
Eine reale Mauer mit offener Tür bietet - finde ich - kaum mehr Schutz als keine Mauer. Am Computer bietet eine Firewall mit geöffneten Ports aber angeblich deutlich mehr Schutz als keine Firewall. Das verstehe ich nicht.

Ich z.B. habe folgende Löcher in meine Firewall gemacht (von Programmen machen lassen):
   - File Sharing
   - Windows Sharing
   - vnc
   - iChat Bonjour
   - iTunes & iPhoto Bonjour Sharing
   - Netzwerkzeit
Safari, Mail und Skype können anscheinend direkt durch Mauern gehen. 

[MacFlieger]

Ich z.B. habe folgende Löcher in meine Firewall gemacht (von Programmen machen lassen):
   - File Sharing
   - Windows Sharing
   - vnc
   - iChat Bonjour
   - iTunes & iPhoto Bonjour Sharing
   - Netzwerkzeit

Warum hast Du das machen lassen? Warum müssen fremde Leute auf Deine freigegebenen Ordner zugreifen, auf Deine Netzwerkzeit, auf Deine Musik und Bilder?

Safari, Mail und Skype können anscheinend direkt durch Mauern gehen. 

Was meinst Du damit?

[Florian]

Und zwar:
Eine reale Mauer mit offener Tür bietet - finde ich - kaum mehr Schutz als keine Mauer. Am Computer bietet eine Firewall mit geöffneten Ports aber angeblich deutlich mehr Schutz als keine Firewall. Das verstehe ich nicht.

Ist auch nicht richtig. Eine Firewall blockt nur, was ihr aufgegeben. Öffnet man einen Port, kann sie höchstens noch protokollieren.

Ich z.B. habe folgende Löcher in meine Firewall gemacht (von Programmen machen lassen):
   - File Sharing
   - Windows Sharing
   - vnc
   - iChat Bonjour
   - iTunes & iPhoto Bonjour Sharing
   - Netzwerkzeit
Safari, Mail und Skype können anscheinend direkt durch Mauern gehen. 

Die Ports für HTTP und HTTPS sowie für die gängigen Email-Dienste sind per se freigegeben. Die müsste man also schon explizit blocken.
Skype braucht TCP-Connections und ist da nicht so wählerisch. Man kann es aber sehr wohl blocken, siehe zum Thema z.B.: http://www.skype.com/help/guides/firewall.html
Standardmäßig ist es halt bei Dir durchgekommen, weil die Firewall eben nicht alles blockt. Das wäre aber schon möglich.