Mal eine Verständnisfrage: warum soll ich auf einem Server, bei dem eh nur 4 Ports offen sind, die Firewall aktivieren, in der ich ja dann genau diese 4 benötigten Ports wieder frei geben muss?
Es kommt mir vor wie ein Zaun vor einen Zaun, in den ich dann die gleichen Durchgänge an gleicher Stelle reinsäge.

wiki(?)http://de.wikipedia.org/wiki/Firewall

Und was soll das jetzt? Was ein Firewall tut ist mir doch klar. Die Frage ist doch eigentlich genau formuliert, oder?

Wie wurden die anderen 4 Ports denn geschlossen?

MetallSnake
Öh, wenn keine entsprechenden Dienste laufen, sind auch keine Ports offen, oder sehe ich da was falsch?

jogoto
Öh, wenn keine entsprechenden Dienste laufen, sind auch keine Ports offen, oder sehe ich da was falsch?

ja, denn es laufen immer irgendwelche sachen, die evtl Lücken bergen. Du installierst eine neue Appliaktion oder sonstwas, und schon ist ein neuer Port offen. Wichtig ist die unterscheidung zwischen den SW-Firewalls, die auf deiner eigenen Kiste laufen, und wenig bringen(nicht nichts!) und einer Firewall auf einem eigenen Rechner, welcher den einzigen Zugang nach "draußen" bietet.

Wenn du einen Router hast, dann schützt dich schon NAT ein wenig...

Genau betrachtet, ist das was MacOs eingebaut hat keine Firewall, sondern ein Portfilter. Du könntest z.B. einstellen, dass nur bestimmte Netzwerke an diese 4 Ports gelangen dürfen. Und nicht die ganze Welt.

Eine "richtige" Firewall ist eine Kiste mit 2 Netzwerkkarten. Eine für das böse Internet außen, eine für dein internes Netz. Jetzt kann man bei Firewalls vielerlei Sachen einstellen. Wer darf wan mit welchem Protokoll wo durch. Sind die Netzpakete, die ankommen, wohlgeformt. etc.

Fazit: Ob du den Mac-Portfilter brauchst? Wahrscheinlich nicht. Aber wenn es jemand schafft, ein Programm auf deinen Server zu schmuggeln, das dann auf Port 1234 lauscht, könnte das der Portfilter abschirmen. Aber, wer das schafft, kann auch deinen Portfilter abschalten. Das einzige was wirklich hiflt ist also eine richtige Firewall in einer externen Kiste.

ne richtige Firewall (wie Frank es schreibt) habe ich versucht zu vermitteln, mit dem link aufs wiki

und das Warum ist auch dort
<siehe Punkt Netzwerk-Firewall>
etc.

tom1502

Was läuft und welche Ports offen sind weiß ich ja. Es kommt auch nichts an Software hinzu (ist ja kein Arbeitsrechner).


Frank

Danke, so hab ich mir das gedacht. Einige der Ports würde ich gerne tatsächlich einschränken, dass sie nur noch auf bestimmte IPs reagieren, siehe hier:

Muss mal `ne Weile weg ...

Wenn man seine Serverinstallation im Griff hat, also genau weiß welche Programme laufen und welche nicht (und das auch kontrolliert!), und der Server keine Durchgangssation ist, also keinen Traffic in ein dahinter liegendes Netzwerk (bzw. ins LAN generell) weiterleitet, dann halte ich einen Paketfilter auch für verzichtbar. Ansonsten tut ein Paketfilter aber nicht weh und wenn man nicht sicher ist was läuft, es also eher eine Desktop- anstatt einer reinen Server-Installation ist, dann sollte man auf Nummer Sicher gehen.

Rantanplan

Sehe ich genauso. Ich werde ihn aber trotzdem auf dem Server verwenden um Dienste, die sich selbst nicht einschränken lassen, etwas zu zügeln. Ich möchte nämlich an das "LAN" dahinter ran, das aus der zweiten Netzwerkkarte besteht. Dann kann ich per VPN alle Dienste lokal ansprechen und von Außen sind sie nicht zu erreichen.

Frank
Nein, es handelt sich dabei um einen Paketfilter.

jogoto
Das kann viele Gründe haben. Es mag z.B. sein, dass man den Zugriff nur
von bestimmten Hosts bzw. Netzen aus erlauben will. Ein weiterer Grund
wäre z.B. das Minimieren von Sicherheitsrisiken durch andere Benutzer
(nicht-Admins) auf der Maschine. So kann z.B. ein normaler Benutzer
auch Netzwerkdienste starten (im Normalfall nur auf nicht-privilegierten
Ports). Will man das kontrollieren/einschränken, kann ein Paketfilter
sehr hilfreich sein.