Kennt Ihr eine (kostenlose) Software mittels derer ich konfigurieren kann, dann eine Software nicht nach draussen kommunizieren darf? LittleSnitch ist mir für diesen Anwendungsfall zu teuer.

Hands off
http://www.oneperiodic.com/products/handsoff/

Kostenlos ist mir nichts bekannt,aber man könnte sicherlich selber mit einigem wissen sperren aktivieren.

Sollte sich mit jeder halbwegs brauchbaren Firewall realisieren lassen. Wie komfortabel das dann ist ist eine ganz andere Frage (oder anders ausgedrückt: Gute Bedienbarkeit hat ihren Preis).

maculi
Ich dachte, dass eine Firewall verhindert, dass etwas hereinkommt...
Die Frage war, dass verhindert wird, dass etwas nach Aussen geht.

Aber ich lasse mich gerne auch belehren...

LuLu

Bei einer guten Firewall kann man auch den ausgehenden Verkehr reglementieren.

Eventuell bietet auch der jeweils vorhandene Router schon Möglichkeiten. Entweder die fragliche URL, oder den Port oder sonstwas sperren. Dafür muss man zunächst in Erfahrung bringen, was genau da wie mit wem kommuniziert.

Genau das tut LittleSnitch bei mir seit Jahren mehr oder weniger automatisch,
Das sollte einem die Kosten wert sein, zumal ständig weiterentwickelt und aktualisiert wird....

rene204 Solange es wie bei virk nur um ein Programm geht, dessen Mitteilungsdrang gebremst werden soll reicht es auch, sich die demoversion von littlesnitch zu ziehen, damit alles nötige raus zu finden, und dann Router / Firewall passend einzustellen. Ist statt mit Geld- eben mit Zeitaufwand verbunden, und ob es dann tatsächlich genauso gut funktioniert bleibt abzuwarten.

Öhm – für welchen Anwendingsfall könnte man LittleSnitch denn sonst noch benutzen? Genau dafür ist es doch gedacht?

Ich brauche exakt die Funktionalität dieser Software – aber kosten darf es nichts!

"Handsoff"-Demo läuft; evtl. tut es das.
Lulu sehe ich mir auch mal an.

Danke Euch allen!

Z.B.

LuLu , , (Open Source Software, kostenfrei oder per Patreon-Spende)

oder

Santa , , , (Open Source Software, kostenfrei)

oder

Murus (Closed Source Software, Lite Version kostenfrei, andere Versionen kostenbehaftet)

Ergänzung zu meinem vorherigen Beitrag, hinter dem Link zu Murus:

Vallum (Closed Source Software, kostenbehaftet, erhältlich entweder als Bestandteil/Beigabe von Murus Pro oder auch separat)

Da gibt es ja doch einiges. Habe mir alles angesehen und werde mal sehen, ob Lulu das tut, was es soll.

TripMode sollte das inzwischen auch können und ist doch deutlich günstiger als Little Snitch.

jo,
wollte gerade IceFloor empfehlen
das hab ich ne ganze Weile selbst eingesetzt, ist ein Frontend für die Apple PersonalFirewall - gewesen:

hab dann Murus, was sierkb schon empfohlen hatte, entdeckt, für die grundlegenden Einstellungen hatte ich mit IceFloor alles was ich wollte, mit der aktuellen mac OS Version wäre wohl Murus geschickter.

Generell glaube ich, sollte man sich auskennen was wie die Firewall macht, es sei denn, was LittleSnitch macht, ist genau alles was man will, und mehr nicht. Dann sollte einem das der Preis wert sein, finde ich

öhm ganz einfach ohne extra Software die Hostdatei des System ändern, insofern du die Übeltäter kennst. Dort leitest du den ungewünschten Verkehr einfach auf 127.0.0.1

In simplen Fällen hilft das, in der Tat.

Aber die Funktionalität von LS & Co. geht über diesen einfachen Anwendungsfall ("ich will einen bestimmten Server für alle Anwendungen ganz und gar blockieren") schon ziemlich weit hinaus.

ja ich weiß, aber die Frage war: "Kennt Ihr eine (kostenlose) Software mittels derer ich konfigurieren kann, dann eine Software nicht nach draussen kommunizieren darf? "
Genau das geht halt mit Boardmitteln. Die weiteren Funktionen, die LS bietet, waren nicht gefragt.

Ich interpretiere das genau anders: Es geht meinem Verständnis nach darum, daß eine Software (also ein einzelnes Programm) nicht nach draußen kommunizieren darf.

Und das geht so eben nicht.

Aber vielleicht klärt uns der OP ja auch auf, dann müssen wir nicht länger raten.

torfdin:

Murus ist seit OS X 10.9 der Nachfolger von IceFloor (dessen Vorgänger das langjährige WaterRoof war). Die Entwicklung von WaterRoof wie auch IceFloor ist inzwischen eingestellt zugunsten von Murus (vor allem aufgrund Apples grundlegenden Änderungen an der Firewall unter der Haube, die machten wohl ein Neuschreiben dieser GUI-Aufsätze für die systemseitig vorhandene Firewall notwendig), und der Entwickler verweist auf der Webseite von IceFloor auf das Nachfolgeprodukt Murus. In allen drei Fällen ist es ein-und derselbe Entwickler, von dem alle drei kommen, siehe dazu auch die entsprechende Eklärung im Impressum der Murus-Website.

Doch genau das kann man machen. Man muss dafür allerdings die Server kennen, die diese Software ansprechen will und diese anfragen entsprechend umleiten. Also als Beispiel (vereinfacht) wenn man Verhindern will dass Software xyZ nicht nach Hause telefoniert leitet man alle anfragen an xyZ.com auf 127.0.0.1 (localhost) um.

... und kann xyz.com dann nicht mehr im zb browser erreichen. super idee.

Nein, im allgemeinen Fall kann man das eben genau nicht machen. Wenn Du ein ganz einfaches und unmittelbar einleuchtendes Beispiel brauchst, dann nimm ein Netzwerk, in dem das Internet nur über einen Proxy erreichbar ist. Wenn Du den mit der simplen hosts-Methode blacklistest (und dessen Adresse ist die einzige, die der Client anspricht), dann hast Du damit den ganzen Client vom Webzugriff abgeklemmt.

Es gibt auch darüber hinaus durchaus eine nennenswerte Anzahl von Anwendungsfällen, in denen das pauschale Abklemmen eines Zielsystems nicht funktioniert. Wenn die Welt der Netzwerke so einfach wäre, wie Du sie Dir vorstellst, wären eine ganze Menge Leute arbeitslos.

Werde heute früh mal testen, ob LuLu die Funktionalität bietet, die ich benötige: Ein einzelnes Programm soll nicht nach draussen und auch nicht innerhalb des Ethernetzes " telefonieren" dürfen. Mit Handsoff hat das wohl schon funktioniert.

doch geht. Vor allem deshalb weil du es idR schon etwas genauer fasst - die Apps telefonieren ja idR nicht mit der Startseite oder sonst irgendeinem Teil der öffentlichen Webpräsenz. Das Beispiel war vereinfacht - hab ich doch auch dazugeschrieben.


Meinst du hier mir Client die App? ja dann ist es auch genau das was gewünscht ist. KEIN Webzugriff für diese App

Nochmal: Ich weiß wie eingeschränkt die Möglichkeit via Host Datei ist, aber es ist genau das, was der TO gefragt hat, was dort machbar ist. Und ja ich weiß was man mit LS & CO. noch mehr machen kann etc pp. aber du kannst hier nicht einfach irgendwelche irregulären Netzwerkkonfigurationen von denen keine Rede war als Grundlage deiner Argumentation nutzen.

Warum verschweigst du uns hartnäckig welches Programm nicht telefonieren soll / darf... Oder hab ich das überlesen?
Und vertraust du diesen "Soft" Firewalls. Die laufen schließlich auf dem selben Rechner wie die Software die telefonieren will. Wenn du wirklich "Sendepause" erzwingen willst dann hilft eigentlich nur extra Hardware zwischen dem Mac und dem Internet. Und wenn es nur ein Raspi oder ähnlich kleines Teil mit entsprechender Software ist.

Nein, ich meine das ganze System. Den Rechner. Alles, was darauf läuft. Das ist genau mein Punkt ... wenn es eine App wäre, wäre es ja OK.

Nimm als noch ein Beispiel, das Du vielleicht weniger "irregulär" findest, die Domain "google.com". Vielleicht wirst Du die im Browser benutzen wollen, aber nicht, daß irgendeine App, die mit Suche im Web nichts zu tun hat, im Hintergrund darauf zugreift. Schon in diesem einfachen Fall versagt die hosts-Methode.

zum 3. mal: Mein Beispiel war vereinfacht - man blockt in dem Fall nicht "google.com", sondern die Ad Server von Google oder was auch immer. Das sind NIE die gleichen Adressen mit denen man die Zugehörige Webseiten aufruft. Google.com kannst du dann also trotzdem regulär weiter nutzen. Dazu muss man allerdings auch diese Serveradressen kennen. Klar hier kommt man ohne weitere Software nicht weiter. Die Frage war auch nicht, wie man die Adressen herausfindet, sondern wie man sie blockt. Aber hier reicht dann, wie bereits von jemand anderem erwähnt, die Testversion von LS um die jeweiligen Adressen herauszufinden, die man blocken muss.

PS.: Und wenn man nicht möchte , dass App X mit Googles Ad System (nur als Beispiel) Kommuniziert, dann möchte man das sicherlich auch nicht bei App Y. Daher sollte das Blocken nach Servern und nicht nach App wohl in 99% der Fälle auch Zielführend und Unproblematisch sein.

Der Vorteil an der Methode ist vor allem, dass man den Traffic auch gezielt selektieren kann. Wenn es zB um eine App geht, die für bestimmte Funktionen einen Webzugriff benötigt (zB ein Clouddienst) und diese nicht blockieren kann, ohne die Funktionalität einzuschränken, aber gleichzeitig nicht möchte, dass zB Daten mit irgendwelchen anderen Dienstleistern (zB Werbedienstleistern) getauscht werden. Oder eine App soll weiterhin im LAN kommunizieren können zb mit einem NAS (wobei es ja vom Rechner nach aussen Kommunizieren muss), aber nicht nach außen ins WAN.

Und ja all das geht mit LS auch oder mit diversen andern Soft- und Hardwarelösungen, aber wenn dem TO die paar Euro für LS schon zu viel sind, ist DAS nunmal eben die klar etwas kompliziertere, aber auch Kostenlose Variante.

Ja aber dieser einfache Fall hat wenig mit der Ausgangsfrage zu tun. Ich weiß nicht warum schaudi hier Minuspunkte kassiert und so angegangen wird. Es ist doch ein Leichtes mit LittleSnitch alle Gegenstellen herauszufinden, die eine Software anspricht. Und in jedem einzelnen Fall kann man entscheiden, ob man diese über eine Host-Umleitung ins Leere laufen lässt oder aus den von Dir genannten Gründen besser nicht.

Ganz platt gesagt ist eine Firewall nichts anderes als ein Router mit Regeln. Ein Router sollte alles von außen nach innen leiten und umgekehrt. Schon in der Grundkonfiguration haben Router aber Einstellungen, die bekannt verdächtiges nicht nach innen lassen, also eine Standard-Firewall. Vielleicht lässt diese sich mit Häkchen und weitere Standard-Regeln ergänzen oder völlig frei konfigurieren, dann auch mit Regeln, die den Traffic von innen nach außen betreffen. Klassisch wäre es einzelnen Clients die Kommunikation nach außen komplett zu versagen oder den Traffic zwar zu erlauben aber begrenzt. Typische Heimanwendungen für eine Firewall "nach außen" wären Kindersicherungen, Bandbreiten- oder Zeitbegrenzungen, Gäste-WLANs ...

Ich sollte noch erwähnen: Ich hatte früher auch LS genutzt und handhabe es heute >genauso<, wie von mir beschrieben, via Host Datei. Ich hatte noch nie irgendein Problem, irgendeine Webseite deswegen nicht aufrufen zu können.
Mir persönlich war der Betrag für LS zwar nicht "zu" hoch, aber warum sollte ich Geld für etwas bezahlen, was ich genauso gut Umsonst selbst machen kann?

Ich stelle ja auch überhaupt nicht in Frage, daß die von Schaudi genannte Methode in einfachen Fällen ausreicht. Da reden wir vermutlich auch ein wenig aneinander vorbei.

Ich stelle lediglich fest, daß die hosts-Methode allein vom Prinzip her Einschränkungen hat, die sie nicht im allgemeinen Fall nutzbar machen. Es sollte offensichtlich sein, daß die hosts-Methode

1. global, d.h. für alle Anwendungen auf einem Rechner
2. vollständig, d.h. jegliche Kommunikation mit einem Zielsystem

blockiert. Wo wir uns uneins zu sein scheinen, ist die Häufigkeit, mit der sich Aufgaben stellen, die einer feineren Granularität bedürfen. Bei mir ist das recht häufig der Fall, bei Schaudi offenbar extrem selten bis nie.

Es gibt übrigens noch einen sehr simplen Fall, in dem die hosts-Methode gar nichts bringt: Bei in der App hartcodierten Adressen.

Du meinst IPs? Könnte man doch im DNS auf Domains umleiten, die mit der Anfrage nichts anfangen können oder auf lokale Geräte.

Noch mal zur Ausgangsfrage: ich denke es haben alle verstanden, was LittleSnitch leisten kann. Wenn es darum geht einer einzigen Software die Kommunikation zur untersagen, finde ich die Aussage "zu teuer" legitim und würde sie noch um "zu lästig" erweitern. Man darf nicht vergessen, LittleSnitch benötigt viel Pflege und kann einen mit Fragen auch ziemlich nerven.
Es kann also nur virk entscheiden, was für ihn eine brauchbare Methode ist.

Um das mal zu einem Ende zu bringen: Der TO fragte nach einer kostenlosen Möglichkeit, einer Software zu verbieten nach Hause (oder generell) zu telefonieren. Kann er das mit der Hostdatei? Ja. Ist das Kostenlos? Ja
Mehr war nicht gefragt. Deine Anwendungsfälle und die damit Verbundenen Probleme scheinen sehr speziell zu sein - das es die gibt bestreite ich ja auch nicht. Wie gesagt, man sollte einzelne Adresse speziell Blocken und nicht allgemein ganze Server, Webseiten oder was auch immer, dann klappt es auch.

Ich glaube wir müssen jetzt hier auch nicht ewig weiter Diskutieren in welchen speziellen Fälle damit Probleme auftreten könnten - ich wollte dem TO nur eine Antwort auf seine recht Knapp gefasste Frage geben. Dafür reicht das. Wenn er damit aus Gründen die er nicht genannt hat, Probleme haben könnte, wird er das schon selber wissen oder merken und dann feststellen, dass seine Anforderungen doch nicht so simpel sind und halt die paar Euro für LS ausgeben.


Oh ja das Stimmt. Das war auch einer der Gründe für mich Nervig hoch 3. Aber wenn man wirklich diese dauerhafte Überwachung braucht ist LS oder ähnliches Unumgänglich. Für eine Feste Zahl an Apps reicht die Methode via Host Datei allerdings aus.

Nein. Kann man nicht. Wenn Du direkt mit einer (IP-)Adresse Kontakt aufnimmst, ist der DNS nicht mit im Spiel, und die hosts-Datei auch nicht.

Vollkommen Deiner Meinung.

... weswegen er ja auch schon mit LuLu experimentiert, das vergleichbare Funktionalität wie LS bietet.

LittleSnitch ist eine Application Firewall, sie erlaubt oder verbietet gezielt ausgehenden Traffic auf App (Services als auch Terminal) bezogen. Das kann man sehr fein justieren.

Ich verwende LittleSnitch schon seit Jahren, detto Micro Snitch.

Was DNS betrifft, ich habe meinen eigenen BIND named DNSSEC (Cache & Resolv) laufen - und das ohne Forwarder. Damit könnte ich auch einzelne unerwünschte Domänen nach localhost umleiten.

Habe heute den Kram nebenher laufen lassen; LuLu scheint ausreichende Funktionalität zu haben: "add rule", Program auswählen, "block" anklicken, fertig.

Murus Lite könnte es wohl auch tun, jedoch habe ich schon ½h gebraucht, um die Regel zu konfigurieren, die ich benötige; wenn sie denn richtig ist

und falls du etwas warten kannst: die letzten jahre gab’s am black friday 50% auf alle little snitch lizensen, da habe ich auf die aktuelle version geupdated.

Dafür müsste LS aber immer laufen um jeden zukünftigen Verbindungsversuch zu einer bisher noch nicht geblockten Zieladresse dieser Software zu verhindern.

@cps
Ich ging jetzt mal davon aus, dass Programme, denen man die Kommunikation nach draußen verbietet, nicht regelmäßig aktualisiert werden.