| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |

Otoczenie sieciowe - Sieć SMB

utworzono: 29/03/2004 :: modyfikacja: 01/05/2008
autor: Marcin Moczkowski :: glappo (at) banita (dot) pl

Firewall czyli ściana ogniowa - Mac OS X

Systemy Mac OS X posiadają wbudowany filtr pakietów czyli firewall, który standardowo jest wyłączony. Zmieniło się to tylko w Mac OS X 10.4 Tiger, gdzie standardowo firewall jest włączony. Jeśli chcesz żeby z twojego Macintosha inne komputery mogły korzystać np. z twoich udostępnionych zasobów, musisz odblokować określone porty dla danych serwisów. Wyjątkiem jest Mac OS X 10.4 Tiger i Mac OS X 10.5 Leopard, które odblokowują określone porty, gdy dana usługa systemowa jest włączona.  Poniżej jest krótki opis umożliwiający prawidłowe działanie w otoczeniu sieciowym (m.in. udostępnianie zasobów i przeglądanie sieci). Żeby manipulować przy ustawieniach Firewall musisz zalogować się na konto z grupy Administrator.

10.2 - Jaguar

Przejdź do "System Preferences" i wybierz w "Internet & Network" opcje "Sharing", następnie wybierz zakładkę "Firewall, wtedy ujrzysz okno jak poniżej.

Zaznacz teraz w oknie "Allow" opcje "Windows File Sharing (139)", następnie możesz włączyć Firewall używając przycisku "Start". Oczywiście możesz dodać też dodatkowe otwarte porty poprzez "New...".

Zauważ że w tej wersji firewalla sterujesz właściwie blokujesz tylko ruch TCP, a nie masz kontroli nad UDP, który jest cały dopuszczany. Mimo że pakiety UDP to mniejsza cześć ruchu w stosunku do TCP ale i tak nie jest to komfortowa sytuacja.

10.3 - Pantera

Przejdź do "System Preferences" i wybierz w "Internet & Network" opcje "Sharing", następnie wybierz zakładkę "Firewall, wtedy ujrzysz okno jak poniżej.

Zaznacz teraz w oknie "Allow" opcje "Windows Sharing (139)", następnie możesz włączyć Firewall używając przycisku "Start". Oczywiście możesz dodać też dodatkowe otwarte porty poprzez "New...".

Jeśli będziesz używał SMB bez NetBIOSu, stosowanego w Samba 3.0 oraz Windows 2000/XP/2003 warto otworzyć dodatkowy port 445/tcp. Możesz to uczynić poprzez wybranie przycisku "New..." i następnie odnaleźć zdefiniowaną regułę o nazwie "SMB (without netbios)" jak pokazano poniżej.

Zauważ że w tej wersji firewalla sterujesz właściwie blokujesz tylko ruch TCP, a nie masz kontroli nad UDP, który jest cały dopuszczany. Mimo że pakiety UDP to mniejsza cześć ruchu w stosunku do TCP ale i tak nie jest to komfortowa sytuacja.

10.4 - Tiger

Przejdź do "System Preferences" i wybierz w "Internet & Network" opcje "Sharing", następnie wybierz zakładkę "Firewall, wtedy ujrzysz okno jak poniżej.

Zauważ, że w Mac OS X 10.4 firewall jest standardowo włączony i sam otwiera porty dla zdefiniowanych usług jak "Windows Sharing". Zamknąć dany port możesz tylko wyłączając dana usługę. Oczywiście możesz dodać też dodatkowe otwarte porty poprzez "New...".

Jeśli będziesz używał SMB bez NetBIOSu, stosowanego w Samba 3.0 oraz Windows 2000/XP/2003 warto otworzyć dodatkowy port 445/tcp. Możesz to uczynić poprzez wybranie przycisku "New..." i następnie odnaleźć zdefiniowaną regułę o nazwie "SMB (without netbios)" jak pokazano poniżej.

W Mac OS X 10.4 doszły zaawansowane ustawienia firewalla dostępne poprzez "Advanced..." a w nich:

  • "Block UDP Traffic" - Blokada ruchu UDP, nie zaznaczaj tej opcji pochopnie gdyż może to spowodować problemy z dostępem do twoich zasobów SMB.

  • "Enable Firewall Logging" - Naprawdę przydatne, włącza logowanie zablokowanych pakietów przez firewall.

  • "Enable Stealth Mode" - Włącza cichy lub jak kto woli podstępny tryb pracy firewall czyli niepożądany ruch (jak np. skanowanie portów) przepada bez żadnej wieści. W tym trybie pracy twój Mac OS X nie odpowie nawet na popularny ping.

Zauważ że w tej wersji firewalla w końcu masz możliwość blokowania zarówno ruchu TCP jak i UDP co we wcześniejszych wersjach Mac OS X nie było możliwe za pomocą standardowych graficznych narzędzi.

10.5 - Leopard

Przejdź do "System Preferences" i wybierz w "Personal" opcje "Security", następnie wybierz zakładkę "Firewall, wtedy ujrzysz okno jak poniżej.

Jakimś dziwnym trafem ktoś w Apple zadecydował, że firewall w Mac OS X - Leopard będzie standardowo wyłączony.  Może nie byłoby w tym nic dziwnego gdyby w poprzedniej wersji systemu czyli Mac OS X - Tiger, firewall, był standardowo włączony. Jest tak nawet jeśli Lepoard był instalowany jako aktualizacja Tigera z włączonym firewallem.

W ogóle nastąpiło jakieś dziwne uwstecznienie, gdyż w wersji 10.4 (Tiger), opcje firewalla były sensownie konfigurowalne i rozbudowane na tyle aby zachować zarówno prostotę konfiguracji jak i możliwość ustawienia najpotrzebniejszych rzeczy w wygodny sposób. W Leopardzie wybrano jeszcze większą prostotę, która sprowadziła się do wyrzucenia na śmietnik wszystkich dotychczasowych opcji i powstały trzy tryby pracy firewalla. Owe trzy tryby pracy firewalla w Mac OS X - Leopard to:

  • Allow all incoming connections - Akceptowanie wszystkich połączeń czyli firewall wyłączony.

  • Block all incoming connections - Blokada wszystkich połączeń, ale pozwala wykrywać aktywne w systemie porty, dopiero uruchomienie opcji Stealth Mode pozwala to zmienić. Wraz z aktualizacją 10.5.1 nazwa tej opcji bardziej odpowiada prawdzie i teraz brzmi Allow Only essential services czyli Zezwalaj tylko na niezbędne usługi.

  • Set access for services and aplications - Dostęp konfigurowany indywidualne dla poszczególnych usług i aplikacji. Możesz poprzez opcje "+" dodać dowolny program który będzie przepuszczany poprzez firewall. Jest on definiowany poprzez parametry w oparciu o sygnatury aplikacji (co wymaga rekonfiguracji firewalla po ich aktualizacji), ale może sobie nie radzić z aplikacjami zmieniającymi sygnaturę podczas każdego uruchomienia jak np. Skype. Leopard, podobnie jak jego poprzednik Tiger, sam otwiera porty dla uruchomionych usług jak "File Sharing". Zamknąć dany port możesz tylko wyłączając dana usługę lub przełączając firewall w tryb Block all incoming connections/Allow Only essential services.

W Mac OS X 10.5 opcje zaawansowane ustawień firewalla dostępnych poprzez "Advanced..." a w nich:

  • "Enable Firewall Logging" - Naprawdę przydatne, włącza logowanie zablokowanych pakietów przez firewall.

  • "Enable Stealth Mode" - Włącza cichy lub jak kto woli podstępny tryb pracy firewall czyli niepożądany ruch (jak np. skanowanie portów) przepada bez żadnej wieści. W tym trybie pracy twój Mac OS X nie odpowie nawet na popularny ping.

Podsumowując, firewall w Mac OS X - Leopard uległ silnemu uproszczeniu w stosunku do jego odpowiednika w Mac OS X - Tiger. Owe uproszczenie niestety jest w części uwstecznieniem, gdyż nie ma możliwości odblokowania na firewallu dowolnego portu TCP lub UDP. No ale pojawiła się za to możliwość odblokowywania poszczególnych programów. Gdy jakaś nowa aplikacja zostanie uruchomiona i będzie próbowała nawiązać połączenie z Internetem, powinno pojawić się okno dialogowe informujące o tym fakcje, dzięki któremu będzie można program na firewall albo zablokować albo na stałe odblokować.

sunShield

Program sunShield jest darmowym firewallem, a właściwie nakładką na ipfw pozwalającym w wygodny sposób skonfigurować wiele zaawansowanych ustawień filtrowania pakietów. Generalnie prawie wszystko co oferuje ci ipfw możesz ustawić poprzez  sunShield.

Program jest podzielony na zakładki, gdzie pierwsza z nich "Active Rules" zawiera przegląd aktywnych reguł filtrowania. Nastepna "Create Rules" służy do tworzenia reguł filtrowania na podstawie m.in. adresów IP, portów TCP i UDP, flag TCP (syn, fin, ack, psh, rst, urg). W zakładce "Router and Preferences" ("Router 'n Pref") zawarte są ustawienia pozwalające włączyć np. usługę translacji adresów czyli NAT oraz uruchamianie sunShield przy starcie systemu. Zakładka "Advanced" pozwala na włączenie logowania oraz zarządzanie profilami ("Tamplates managmanet"), co pokazano na obrazku poniżej.

Program sunShield jest darmowy i wymaga Mac OS X 10.2 lub późniejszego. sunShield można pobrać ze strony domowej http://www.sunprotectingfactory.com/, a konkretnie z adresu http://www.sunprotectingfactory.com/sunShield/shield_news.html

DenyIP

Program DenyIP jest prostym ale użytecznym narzędziem. Jego podstawowa funkcja to monitorowanie wszystkich połączeń z i do naszego komputera. Owe połączenia są prezentowane na przejrzystej liście jak poniżej i na podstawie tej listy możemy jakiś adres IP zablokować przed łączeniem się z naszym komputerem. DenyIP bazuje na wbudowanym w Mac OS X filtrze ipfw i stanowi doskonałe uzupełnienie wbudowanego w system firewalla.

Program DenyIP jest darmowy i wymaga Mac OS X 10.2 lub późniejszego. DenyIP niestety nie jest już rozwijany. Jego strona domowa znikneła w otchłani Internetu, kiedyś znajdowała się pod tym adresem - http://www.ithyldin.org/

Uwagi na koniec

Firewall w Mac OS X bazuje na narzędziu ipfw, znanym dobrze użytkownikom FreeBSD. To co przeczytałeś powyżej to tylko standardowe profile tego firewalla. Jeśli potrzebujesz zaawansowanej konfiguracji będziesz musiał popisać trochę regułek w Terminalu. Żeby dowiedzieć się co i jak pisać polecam lekturę poniższych artykułów:

na górę

Drukuj Dokument