So, wie versprochen, habe ich mal ein paar Sachen bezgl. Firewalls usw. zusammengeschrieben. Diskussion und Verbesserung ist auf jeden Fall noch notwendig. Also los.

Ein bisschen Off-Topic:
Im Falle von iTunes war es doch eine Zeit lang so (einen Monat von iTunes 4.0 bis 4.0.1), daß man ohne Probleme seine Playlists übers Internet streamen konnte, heute geht das nur noch mit Zusatzprogrammen und Tricks.
Verwendete Apple damals ein anderes Protokoll (Rendezvous/Bonjour gab es ja schon) oder was haben sie da sonst verändert?

Woher weiß iPhoto zu unterscheiden zwischen dem internen und dem weltweiten Netzwerk?

Indem es, wie auch iTunes, iChat und Safari, Bonjour bzw. Rendezvous/ZeroConf verwendet. Eine detaillierte Beschreibung, wie Bonjour funktioniert, findet sich hier. Im Grunde ist es ein serverloses Netzwerk, daß parallel zum eigentlichen Netzwerk existieren kann und in dem jeder angeschlossene Rechner seine Dienste veröffentlicht. Da der verwendete IP-Kreis (169.254.x.x) nicht geroutet wird, bleiben solche Netze lokal; somit werden diese Dienste auch nie automatisch über das Internet verfügbar sein.

Hier gingen die Begriffe tatsächlich ziemlich durcheinander, MacFlieger hat aber das meiste schon sehr gut erklärt.

Was eine "echte" Firewall ist, ist natürlich Ansichtssache und kann je nach Umgebung sehr verschieden sein. Ich würde aber genauso sagen, dass ein Paketfilter (und damit das, was Apple in Mac OS X als "Firewall" bezeichnet) eigentlich keine Firewall ist.

Ein Paketfilter kann nicht mehr tun, als Sende- und Empfangsports sowie Sende- und Empfangsadressen jedes Datenpakets zu prüfen, wobei der betroffene Netzwerkanschluss und die Senderichtung in die Prüfung mit eingehen kann. Hierbei werden grundsätzlich alle Pakete blockiert und nur Pakete, die bestimmte Kombinationen von Ports und Adressen aufweisen, durchgelassen. In gewissen Grenzen kann ein solcher Paketfilter noch mehr, er kann beim Beobachten bestimmter Pakete in einen "Sonderstatus" gebracht werden (Stateful Packet Inspection), in dem er für einen gewissen Zeitraum fast alle Pakete in eine bestimmte Richtung zwischen einem Sender-/Empfängerpaar  durchlässt, dessen Kommunikation sich kurz vorher als unverdächtig herausgestellt hat. Das ist zum Beispiel für den Zugriff auf FTP-Server nötig, da es zu den Eigenheiten von FTP gehört, Portnummern quasi auszulosen, so dass sie im Vorhinein nicht bekannt sind und ansonsten FTP-Pakete immer ausgefiltert werden würden.

Eine "echte" Firewall geht hier noch viel weiter: Sie überprüft auch die Inhalte der Pakete und kann mehrere dieser Statusbeobachtungen auch auf einer Vielzahl unterschiedlicher Ports gleichzeitig durchführen, diese anhand komplexer Regeln bewerten und korrekt zuordnen. Es handelt sich immer um eigene Hardware. Für solche Firewalls bezahlt man üblicherweise 4- bis 5-stellige Beträge. Sie sind meistens so kompliziert einzurichten, dass man dazu in der Regel eine eigene Firma mit lange laufenden Wartungsverträgen beauftragt.

Zu den anderen Fragen:

• Ports, die nicht von einem Netzdienst, den man anbietet, genutzt werden, sind sowieso "zu". Es ist also weder eine Tür, noch eine Wand vorhanden. Da ist noch nicht mal ein Gebäude...
• Paketfilter sind so vorprogrammiert, dass sie alle auf den Netzwerkanschlüssen eingehenden Anfragen sperren. Da ist auch nichts für HTTP und Mail offen. Nur bei Netzkommunikation, die von Innen nach Außen geht wird zugelassen, dass der jeweilige Kommunikationspartner (und nur der) Rückantworten senden darf. Deshalb kann man z.B. Safari nutzen, auch wenn alle Ports gesperrt sind.
• Richtet man einen Netzwerkdienst auf seinem Rechner ein, öffnet man damit einen oder mehrere Ports ("Türen"). Schaltet man nun die Firewall ein, werden alle Türen wieder "zugemauert". Gibt man diese Türen in der Firewall frei, werden diese überwacht und anhand gewisser Regeln geöffnet.
• Eine Paketfilter-Firewall weiß eigentlich nicht, was "das Internet" ist! Je nachdem, wo die Firewall sich befindet, kann sie also Rechner im eigenen Netzwerk nicht von Rechnern im Internet unterscheiden.
• Die Funktion "Internet-Sharing" richtet auf einem Computer, der mindestens zwei Netzwerkanschlüsse hat, einen NAT-Router ein. Wird an einem Anschluss eine Verbindung ins Internet hergestellt, können dann nicht nur dieser Computer, sondern auch alle Computer in einem Netz, die an dem anderen Netzwerkanschluss hängen, auf das Internet zugreifen. Hierzu routet der sharende Computer die Pakete von einem Netz in das andere und schreibt die Sende-/Empfangsadressenin in jedem Paket um, so dass so getan wird, als wäre nur der eine Computer im Internet.
• Paketfilter im Consumer-Bereich müssen einfach zu bedienen sein. Daher werden einige "Grundregeln" bereits einprogrammiert, ohne dass der Benutzer etwas einzustellen braucht. Wie gesagt ist die übliche Grundannahme, den Datenverkehr von innen nach außen komplett zu erlauben und von außen nach innen komplett zu sperren, es sei denn, es handelt sich um direkte Rückantworten auf eine Anfrage von innen nach außen.

Bei Jochen ist die Sache kompliziert, denn er betreibt offensichtlich zwei Software-Consumer-Paketfilter-Firewalls auf einem Rechner, der als Router zwischen zwei Netzen fungiert. Da die Firewalls nicht wissen können, welche der beiden Netze (Ethernet oder Airport) ins Internet führen, sind Probleme vorprogrammiert. Die korrekte Lösung wäre zum einen, nur NetBarrier zu verwenden, zum anderen, für beide Netzwerkschnittstellen von Hand (!) unterschiedliche Sätze von Regeln zu programmieren. Die Rechner im Airport-Netz müssen ja ganz anders behandelt werden, als die Rechner am Ethernet-Port. Beides ist für den Paketfilter "außen".

Eine Firewall garantiert noch keine Netzwerksicherheit. Vor Viren oder trojanischen Pferden, die übers Netz hereinkommen, schützen sie zum Beispiel überhaupt nicht.

Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.

Das ist halt genau das Problem, das man mit jeder Firewall hat, die auf einem "Nutzsystem" läuft, also auch mit der in OS X integrierten. Eine solche Firewall kann grundsätzlich nur den eigenen Computer als geschützten Bereich betrachten. Hat man selbst mehrere Computer (also ein kleines Netzwerk) gibt es eigentlich nichts anderes, als solche Dinger gänzlich auszuschalten. Die Firewall gehört dann definitiv an den Gateway zwischen dem eigenen Netzwerk und dem Internet (also in der Regel auf den DSL-/Kabel-Router).

Du möchtest also, daß fremde Leute aus dem Internet auf Deine Ordner, Bilder, Musik etc. zugreifen können?

Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.

Nein!
Die Apple Firewall blockt alle(!) Verbindungen, die von außen initiiert werden, außer denen, die man explizit freigibt. Trotzdem kann man natürlich mit Safari surfen, Mails abholen usw. usf, denn das sind alles Verbindungen die von innen(!) initiiert sind! Die Apple Firewall blockt nur alle Verbindungen, die ungefragt von außen kommen.

Darum ging es doch, er fragte, warum er für die Netzwerkuhr eine Verbindung freigeben muss und fürs Webbrowsen nicht. Auch habe ich nicht explizit von der Apple-Firewall geschrieben. Der Unterschied zwischen rein und raus ist mir bekannt.

warlord: Ist schon klar, nur ist es in der Regel so vorkonfiguriert, im Consumerbereich.  War fahrlässig formuliert, danke.

Jochen:
Natürlich läuft in beiden Fällen eine Software, was sonst? Ich meinte halt ein eigenes Gerät für die Firewall.
Die Vorteile sind hier wohl alle genannt, der Unterschied erläutert.  

Musik und einige FotoOrdner habe ich bewußt in den iApps freigegeben und anderen und mir dadurch große Freude bereitet.  

Du möchtest also, daß fremde Leute aus dem Internet auf Deine Ordner, Bilder, Musik etc. zugreifen können? Wenn nein, ist das "Loch" völliger Unsinn.

Warum wird denn eine löchrige Mauer ("per se freigegeben") immer als so wichtig für die Computersicherheit genannt?

Das steht nur bei Leuten, die Dir eine "Firewall" verkaufen wollen, die Windows benutzen oder keine Ahnung haben.
Eine Firewall wird dann benötigt, wenn ein Dienst auf dem Computer läuft, der aus dem Internet nutzbar ist, obwohl man das nicht möchte. Eigentlich ist der Dienst dann falsch konfiguriert, denn besser wäre es den Dienst so zu konfigurieren, daß er nicht aus dem Internet nutzbar ist. Die schlechtere Lösung ist es eine "Firewall" mit dieser Aufgabe zu betreuen. Auf dem Mac laufen im Lieferzustand keine Dienste, also keine Firewall notwendig. unter Win laufen jede Menge Dienste, die Zugriffe erlauben, die fehlerhaft sind etc. Dort ist eine "Firewall" Pflicht.

Ich glaube, ich setze mich mal hin und schreibe mal die Funktionsweise einer Firewall auf. Hier in diesem Thread läuft ja einiges durcheinander.