問題タブ [ipfw]

すべての FTP トラフィックを特定のソケットに転送する ipfw 迂回ルールを作成する場合、Java を使用してソケットに接続し、パケット情報を読み取ることはできますか? もしそうなら、私はどのようにscoketへの読み書きをしますか?

OS X 10.5を使用していて、アプリケーションがインターネットにアクセスしようとしているかどうかを検出する方法を探しています。この時点で、定義する一連のルールに一致するアプリケーションをブロックしたいと思います。

特定のポートへのアクセスをブロックするために使用できると私が認識しているipfwUnixコマンドがありますが、これはすべてのアプリケーションに影響します。マニュアルページを読みましたが、ipfwを使用してアクセスをブロックする方法はわかりませんでしたが、特定のアプリケーションに制限しました。

私の主な問題は、ネットワークへの外部アクセスを取得しようとしているアプリケーションを検出することです。プログラムでこれを行う方法が必要です。MacOSXAPIまたはUnixコマンドを使用するかどうかにかかわらず、これをどのように実現できますか？

更新： 基本的にはリトルスニッチがやっていることをやりたいのですが、リトルスニッチが好きではないので自分で一から書きたいと思っています。アプリケーションネットワークのサンドボックス化を実現できるAPIと、Little Snitchがこれをどのように正確に実行できるかを知る必要がありますか？

コマンドラインから信頼できるサイトをMacOSXのファイアウォールに追加しようとしています。以前は、 ipfwを使用して、ポート番号またはIPを使用してパケットレベルでファイアウォールを構成できたことを理解しています。Leopard（10.5）以降には、信頼できるアプリケーションをリストに追加するための新機能があります。これは、UIを使用して実行できます。

システム環境設定>セキュリティ>ファイアウォール

コマンドラインを使用するだけでなく：socketfilterfw

ただし、上記のコマンドを実行すると問題が発生し、ユーティリティが「ハング」して何も実行されないように見えます。これは私が受け取る出力であり、その後は何もしません。

この記事から素晴らしいガイダンスがありました：

http://krypted.com/mac-os-x/command-line-alf-on-mac-os-x/comment-page-1/#comment-547

ここの誰かがなぜそれが機能していないように見えるのか知っているのではないかと思っています。

キャット

少し前に ipfw にルールを追加しましたが、今はそれを削除したいと考えています。だから私は行きます：sudo ipfw flush そして、すべてのユーザールールが削除されます。しかし、マシンを再起動するたびに、ルールが元に戻ります!

ipfw 設定ファイルを探してみましたが、何も見つかりませんでした。初めて WaterRoof (ipfw のフロントエンド) を使用したときにルールを追加したとき、何か関係があるのでしょうか? （WaterRoofでルールを外してみましたが同じ結果です）

このルールが毎回追加される場所についてのアイデアはありますか? どこから始めればよいかわかりません。

OS X 10.6を実行しています

freebsd ftp からソース コードを見つけたのですが、それが OSX バージョンのコードかどうかはわかりません。また、Apple のソース コードの Web サイトを確認しましたが、見つかりませんでした。

DummyNetの現在のバージョンをダウンロードしました。readmeによると、次の手順に従います。

Windows：NDISドライバーをインストールします

• 使用中のネットワークカードの構成パネルを開きます（SYSTRAYのアイコンを右クリックするか、[コントロールパネル]-> [ネットワーク]に移動して1枚のカードを選択します）
• [プロパティ]->[インストール]->[サービス]->[追加]をクリックします
• 「ドライバディスク」をクリックし、このフォルダで「netipfw.inf」を選択します
• 表示される唯一のサービスである「ipfw+dummynet」を選択します
• 不明なドライバのインストールに関する警告で[同意する]をクリックします（既存のネットワークカードごとに約2回）

しかし、「netipfw.inf」を選択して「OK」をクリックすると、システムはエラーを返します（このデバイスのドライバーが見つかりません）。

以前、Start->Execで次のコマンドを実行してデジタル署名を入力するためのチェックコントロールを無効にしたことに注意してください。

システムを再ボットします。

ダミーネットコマンドを実行しようとすると、システムが次のように返すため、この問題を解決できる必要があります。

私のネットワークカードは、マザーボードAsusStrikerIIに統合されたNVIDIAnForceです。

問題を解決するためのアイデアはありますか？ありがとう。

UDP（データのサイズ150バイト）を使用して1つのPCから別のPCにデータを送信するプログラムがあります。そのプログラムはdelphi7（データの送受信に使用するTldUDPClientおよびTldUDPServerコンポーネント）で記述されています。このプログラムを30％のパケット損失でテストする必要があります。

私ipfwはWindowsに使用しています（sourceforgeからダウンロード）：

pingを使用すると、データが30％失われることがわかります。

delphiプログラムを起動すると、しばらく作業した後、エラーが返されますsocket error 10004。エラーの説明は次のとおりです。関数呼び出しが中断されました。の呼び出しにより、ブロッキング操作が中断されましたWSACancelBlockingCall。

ネットワークコンポーネントとパケット損失エミュレーションの間の機能の問題ですか？それとも、実際の状況でも、パケット損失が発生したときにそれがわかりますか？パケット損失のエミュレーションに使用できる別のファイアウォールまたは別のソフトウェアはどれですか？

私のアプリケーションでは、URLをブロックする必要があります。そのようなことをしました。NSTaskを使用してCocoaを介してipfwルールを実行する必要があると思います。そのためにSTPrivilegedTaskを統合し まし
たが 、ルールipfw add 12164 deny tcp from any toを提供していますwww.facebook.com
と返して、ルールを返します

しかし、それでも www.facebook.com にアクセスでき、今では別の IP アドレスから来ています。

ドメイン名に関連付けられたすべての URL のリストが必要だと思いますが、Program にアクセスすることは可能ですか?

私のアプリケーションでは、ファイアウォールをブロックして、すべてのURLをブロックし、特定のURLを許可する必要があります。

これが私が書いているルールです

www.google.com、www.facebook.comをブロックしたくないと仮定します

しかし、それはすべての接続をブロックします。そのようなシナリオを持つためのファイアウォールルールはどうあるべきですか。

tcトラフィック シェーピングにカーネル 2.6.38.8 を使用しています。帯域幅を制限すると機能し、遅延を追加すると機能しますが、両方の帯域幅を遅延でシェーピングすると、制限が 1.5 Mbps を超える場合、達成される帯域幅は常に制限よりもはるかに低くなります。

例：

(ping から) 201 ミリ秒の遅延が発生しますが、容量はわずか 1.66 Mbps (iperf から) です。遅延をなくすと、帯域幅は正確に 2 Mbps になります。1 Mbps と 200 ミリ秒の RTT の帯域幅を指定すると、すべてが機能します。同様の結果が得られる ipfw + dummynet も試しました。

Kconfigでカーネルを再構築してみましたがHZ=1000、問題は解決しませんでした。他のアイデア？