Configurazione manuale del firewall di OS X

[notorious]

Salve a tutti.
Volendo utilizzare il firewall per poter filtrare indirizzi udp, sono costretto a configurare manualmente ipfw. Dopo aver cercato un po' sul web, l'ho configurato tramite il file /etc/ipfw.conf. Così veniva consigliato su quel sito (ogni riga a davanti il comando add):

Code: Select all

00010 divert 8668 ip from any to any via ppp0
00900 allow ip from any to any via lo*
00901 deny log logamount 500 ip from 127.0.0.0/8 to any
00902 deny log logamount 500 ip from any to 127.0.0.0/8
01001 allow ip from any to any out
01002 allow tcp from any to any established
01003 allow ip from any to any frag
01004 allow icmp from any to any in icmptype 0,3,8,11,12,14,16,18
03000 allow udp from any 67 to any 68 in
03001 allow udp from any 123 to any 1024-65535 in
03003 allow udp from any 53 to any 1024-65535 in
04002 allow tcp from any to any 427,548 in
04003 allow tcp from any to any 139 in
04005 allow tcp from any to any 631 in
05012 allow tcp from any to any 4662 in
05013 allow udp from any to any 10929 in
53005 deny log logamount 500 ip from any to any
65535 allow ip from any to any

Con questa configurazione, edonkey2000 si connette con un id alto (almeno credo, si vede dal log sul programma stesso?), ma non riesco a condividere nulla in rete.
Allora, ho provato a fare in un'altra maniera: ho disattivato ipfw da terminale (ipfw flush), l'ho riattivato tramite Preferenze di sistema/Condivisione/firewall, tramite ipfw list ho ottenuto l'elenco delle regole del firewall, e da questo mi sono creato un ipfw.conf come viene riportato qui sotto:

Code: Select all

# Impostazioni prese dal firewall preimpostato:
add 02000 allow ip from any to any via lo*
add 02010 deny ip from 127.0.0.0/8 to any in
add 02020 deny ip from any to 127.0.0.0/8 in
add 02030 deny ip from 224.0.0.0/3 to any in
add 02040 deny tcp from any to 224.0.0.0/3 in
add 02050 allow tcp from any to any out
add 02060 allow tcp from any to any established
add 02070 allow tcp from any to any 548 in
add 02080 allow tcp from any to any 427 in
add 02090 allow tcp from any to any 139 in
add 02100 allow tcp from any to any 3689 in
add 02110 allow tcp from any to any 631 in
add 02120 allow tcp from any to any 515 in
add 02130 allow tcp from any to any 4662 in

# Permettere connessioni edonkey2000 in entrata:
add 5012 allow tcp from any to any 4662 in
add 5013 allow udp from any to any 10929 in

add 12190 deny tcp from any to any
add 65535 allow ip from any to any

Usando queste regole, riesco a condividere i servizi normalmente (documenti, windows, stampa) ma non riesco ad ottenere un id alto, né a condividere la connessione. Inoltre, al lancio del firewall da terminale, ottengo il seguente errore:

Code: Select all

MacMini:/etc andrearomagnoli$ sudo /Library/StartupItems/ipwf/ipwf net.inet.ip.fw.verbose: 1 -> 1
net.inet.ip.fw.verbose_limit: 500 -> 500
ipfw: getsockopt(IP_FW_ADD): Invalid argument

Quali regole dovrei aggiungere e dove? Considerate che voglio:
1) condividere i documenti e la stampante
2) condividere la connessione internet per la navigazione web, posta, skyppe e messenger verso altri computer della rete
ciao

PS: se c'è un modo + semplice, fatemi sapere
PPS: senza firewall, funziona tutto

EDIT inserisco uno schema che descrive la configurazione della rete, per maggiore chiarezza; la nuvoletta è internet, il vecchio iMac è il mio mac mini, e al posto della airport ho uno switch ethernet

[avrobay]

Perdona la domanda ingenua, ma perché non si può fare tutto questo con la normale interfaccia in preferenze di sistema?

[notorious]

Perdona la domanda ingenua, ma perché non si può fare tutto questo con la normale interfaccia in preferenze di sistema?

Scusami tu, effettivamente non ho premesso che ho panther, e mi manca proprio la casella dove inserire le porte udp tramite interfaccia

PS: Scusate comunque per la lunghezza e la tipologia del post, e se sono stato troppo "tecnico" (soprattutto perché di reti non ci capisco nulla! :P ); dovrei essere un pochetto + sintetico quando scrivo i messaggi?
PPS: lo regge bene tiger un mac mini con 256 MB di ram?

[flashcream]

Scusami tu, effettivamente non ho premesso che ho panther, e mi manca proprio la casella dove inserire le porte udp tramite interfaccia

non vorrei sbagliare ma panther non fa differenza tra udp e tcp quindi quando apri una porta questa è aperta per ogni protocollo

non hai che da provare...

[avrobay]

Perdona la domanda ingenua, ma perché non si può fare tutto questo con la normale interfaccia in preferenze di sistema?

Scusami tu, effettivamente non ho premesso che ho panther, e mi manca proprio la casella dove inserire le porte udp tramite interfaccia

PS: Scusate comunque per la lunghezza e la tipologia del post, e se sono stato troppo "tecnico" (soprattutto perché di reti non ci capisco nulla! :P )]


Il tuo è indubbiamente un post tecnico, ma che male c'è? Anzi!
Io purtroppo non so aiutarti ma nel forum ci sono persone con competenze diverse dalle mie!

256 di Ram è poco purtroppo. Tiger gira ovviamente, ma presto sentirai l'esigenza di acquistarne altra.

[avrobay]

Scusami tu, effettivamente non ho premesso che ho panther, e mi manca proprio la casella dove inserire le porte udp tramite interfaccia

non vorrei sbagliare ma panther non fa differenza tra udp e tcp quindi quando apri una porta questa è aperta per ogni protocollo

non hai che da provare...

Segnalo questo articolo tecnico di Apple (è stato pubblicato "ai tempi" di Panther):
http://docs.info.apple.com/article.html?artnum=93208

[macric]

prova questo shareware : http://www.macupdate.com/info.php/id/5996
alemeno non diventi scemo dietro terminale... di facile configurazione e gestione - qualcosa di freeware c'è ma al momento non ricordo...



Ric

[flashcream]

ci sarebbe anche questo... è un pannello di preferenze di sistema (anche tiger compatibile) SunShield:

http://www.sunprotectingfactory.com/sun ... tures.html

mi pare interessante... è un'interfaccia che gestisce proprio ipfw di mac os x

[notorious]

Grazie mille per le risposte!

non vorrei sbagliare ma panther non fa differenza tra udp e tcp quindi quando apri una porta questa è aperta per ogni protocollo

Ho provato aprendo le porte tcp e udp per edonkey da interfaccia, ma continua a connettersi con id basso (però strano, dice che la 4662 non è raggiungibile, ma l'ho aperta)]
MacMini:/Users/andrearomagnoli root# ipfw list
00010 divert 8668 ip from any to any via ppp0
...
02180 allow tcp from any to any 4662 in
02190 allow tcp from any to any 10929 in
...
[/code]
come si vede, le porte immesse da interfaccia le considera tutte tcp.

256 di Ram è poco purtroppo. Tiger gira ovviamente, ma presto sentirai l'esigenza di acquistarne altra.

Mantenendo però lo stesso hardware (nel mio caso la ram), passando da panther a tiger avrei un miglioramento o un peggioramento (256 MB sono pochi anche qui, quando apro più applicazioni )?

per macric: l'avevo già provato, ma mi diceva che dopo un certo periodo non avrebbe più funzionato; cmq grazie lo stesso

per flashcream: grazie della segnalazione, appena ho un po' di tempo lo provo

[avrobay]

256 di Ram è poco purtroppo. Tiger gira ovviamente, ma presto sentirai l'esigenza di acquistarne altra.

Mantenendo però lo stesso hardware (nel mio caso la ram), passando da panther a tiger avrei un miglioramento o un peggioramento (256 MB sono pochi anche qui, quando apro più applicazioni )?

Mentre dopo il passaggio da Jaguar a Panther siamo stati tutti d'accordo nel sottolineare come il nuovo sistema operativo avesse portato miglioramenti nelle prestazioni generali, con il passaggio da Panther a Tiger ho letto di tutto e il contrario di tutto.
La mia impressione è che più o meno Tiger e Panther chiedano le stesse risorse al computer.