1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Freiwillige…

Leider kein Tiny-FireWall-2-Projekt :-(

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Siga 28.01.09 - 12:45

    Es gab mal (und gibt noch bei Download-Sites von Verlagen wie Chip u.ä.) Tiny Firewall (iirc hiess das so). War nervig weil es 3 Fenster brauchte was man auch in einem Fenster hätte fragen können:
    - app
    - ip (evtl auch hostname, evtl aber auch nicht)
    - port (oder ports)
    - weiteres
    ja/nein und passend setzen. Es gibt/gab ähnliche Projekte. Sowas muss aber einfach zu nutzen sein.

    Wurde aufgekauft und nicht weitergeführt. So wie dodgeball und viele andere Projekte (SVG=gut bei Adobe durch Flash=Crap ersetzt ist das Gegenteil). Gut für die Gründer, schlecht für die Nutzer :-(

    Ich will nicht das mein Rechner (Windows XP) ivw-Pixel und anderen Schrott lädt. Wenn ich inexExplorer etwas erlaube, darf der gleich überall hin connecten. Da habe ich keine lust mehr drauf und ich will was einfaches was jeder benutzt. [1]
    Also per router/dns/resolver irgendwie kontrolle (und auch übersichten) reinbringen. Also im prinzip eine moderne form der tiny-firewall.

    Nur der kleine DNS von FLi4l kann z.b. ivwpixel.** sperren also Globs für Hostnamen. /etc/hosts (resolver) kann das leider nicht.

    Man müsste das routing von xp auf eine blackbox umlenken, die den Filter implementiert (z.b. colinux oder hypervisor-irgendwas) und dann erst rausgeht.
    Und beides ist wichtig: hostnamen und ip-connections. Meist gehts nur um eines. Ich will ivwpixel.ip-ist-1.2.3.4.ivwStasi.de gar nicht nicht erst auflösen!
    Ich will ein Log/Counter der angefragten hostnamen und diese erst nach Freigabe resolven (und merken für nameserver-ausfälle) und kicken ("ivw" oder halt anderen stuss. Dafür müssen resolver/http-proxy (was will er überhaupt von a.golem.de holen, javascripte oder gifs oder werbung) filter usw. alle zusammenarbeiten. und ipchains oder wie das in der aktuellen version heisst, bin ich zu faul für. Ist im nächsten kernel ja sicher wieder was neues (das war Sarkasmus).

    [1] Ich will auch einen superproxy der bestimmte urls hält (opera ist da unschlau und löscht golem-bilder nach einer weile :-( weil er kein zweistufiges cache-konzept hat) und andere rewrited und halt 1x1 für Werbung liefert(opera ist da unschlau und schrinkt nicht angezeigte bilder nicht auf 1x1 pixel was die seiten kompakter machen würde so das man weniger scrollern muss und text(=content) mehr platz hätte.
    ad-flitzer(opera-glob-Listen mit WerbeServern) und Proxomitron nutze ich. Proxomitron hat aber auch seine Macken bzw. ist mühselig einzuarbeiten und unhandlich (finde ich) wenn man etwas anderes als die mitgelieferten Listen machen will.
    Nur muss man proxies in der Software normalerweise eintragen und das will ich natürlich nicht sondern auch der böse inet-Ex oder Windows-Update oder Adobe-Autostarter oder DivXUpdateChecker,... müssen sich dem Proxy unterwerfen ohne das ich das einzeln einstellen muss.
    Und wenn man schon einer Software was erlaubt, dann nur bestimmte Hosts und nicht Wahllosen zugriff auf alles. Und keine wahllosen host-namens-auflösungen. oder svchost. Schaut mal mit sysinternals (kostenlos, jetzt M$) mit tcpview (oder netstat in der commandline) was alles so connected und wo auch immer hin.

  2. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Flying Circus 28.01.09 - 14:42

    Siga schrieb:
    -------------------------------------------------------
    > Es gab mal (und gibt noch bei Download-Sites von
    > Verlagen wie Chip u.ä.) Tiny Firewall (iirc hiess
    > das so).

    Was nützt Dir das gegen Vorratsdatenspeicherung? Nichts.

    > Sowas muss aber einfach zu nutzen sein.

    Geht nicht. Man braucht zu viel Hintergrundwissen dafür. Woher soll meine Tante wissen, was der Prozess XY unter Windows tut und warum der ins Internet verbinden möchte?

    > Also per router/dns/resolver irgendwie kontrolle
    > (und auch übersichten) reinbringen. Also im
    > prinzip eine moderne form der tiny-firewall.

    Filterndes Gateway. Garantiert nicht für Endanwender geeignet.

    > Man müsste das routing von xp auf eine blackbox
    > umlenken, die den Filter implementiert (z.b.
    > colinux oder hypervisor-irgendwas) und dann erst
    > rausgeht.

    Und wer bestimmt dann, was wie gefiltert wird? Weils ne blackbox ist?

    > Und beides ist wichtig: hostnamen und
    > ip-connections. Meist gehts nur um eines. Ich will
    > ivwpixel.ip-ist-1.2.3.4.ivwStasi.de gar nicht
    > nicht erst auflösen!

    Wenn der Staat möchte, daß Du bespitzelt wirst, dann wird der Mist eben fest verdrahtet. Macht Microsoft z.B. für einige seiner IPs.

    > Ich will ein Log/Counter der angefragten hostnamen
    > und diese erst nach Freigabe resolven (und merken
    > für nameserver-ausfälle) und kicken ("ivw" oder
    > halt anderen stuss.

    Gute Idee. Der DoS am HeimPC wird wahr. Einfach eine kleine Software auf den Rechner schmuggeln, die tausende Anfragen lostritt. Viel Spaß beim Wegklicken.

    > Dafür müssen resolver/http-proxy (was will er überhaupt von
    > a.golem.de holen

    Das kann kein normaler Benutzer entscheiden.

    > javascripte oder gifs oder
    > werbung) filter usw. alle zusammenarbeiten. und
    > ipchains oder wie das in der aktuellen version
    > heisst

    iptables. Das filtert Pakete.

    >, bin ich zu faul für. Ist im nächsten
    > kernel ja sicher wieder was neues (das war
    > Sarkasmus).

    War es nicht. Sarkasmus ist was anderes.

    > Und wenn man schon einer Software was erlaubt,
    > dann nur bestimmte Hosts und nicht Wahllosen
    > zugriff auf alles. Und keine wahllosen
    > host-namens-auflösungen. oder svchost. Schaut mal
    > mit sysinternals (kostenlos, jetzt M$) mit tcpview
    > (oder netstat in der commandline) was alles so
    > connected und wo auch immer hin.

    Und damit ist der normale Anwender hoffnungslos überfordert. Und nicht nur der. Whitelisting funktioniert vielleicht für Unternehmen mit viel freien Kapazitäten. Für den Privatanwender auf keinen Fall. Es sei denn, er bekommt die Whitelist vorgegeben. Und das ist eine gaaanz tolle Idee. Ehrlich. Da reibt sich unser Bundesminister für Inneres, Herr Dr. Wolfgang Schäuble, schon die Hände bei dem Gedanken.

    Übrigens hat all das von Dir geschilderte nichts mit dem Problem der Datenspeicherung seitens des ISP zu tun. Da hülfe nur ein verschlüsselter Tunnel zu einem Proxy im Ausland, von dem aus Du dann anonymisiert weitersurfst.

  3. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Siga 28.01.09 - 16:09

    Die RUssen werden sicher gegen Geld proxies auf PricaPCs die nix davon wissen anbieten.

    Man muss nix wegklicken. Sei mal angesichts Deines Wissens konstruktiver. Es ist nix für Normalos. Aber für Leute die lernen wollen und zu 99% kann die verbindung ja geschlossen bleiben (default) bzw. der hostname nicht aufgelöst werden (auch default). Und proxomitron liefert fehlerseiten. Kann die konfigurierbare "blackbox" ja auch mal machen. Wenn ich auf update bei VirusChecker klicke und keine connection kriege, kann das tray-icon ja rot blinken und ich denke mir "hey, lass mal die blackbox checkern" und da wird avira oder sonstwer dann freigeschaltet.

    Es geht erstmal darum, das man überhaupt entscheiden kann, wohin der Rechner connectet. gegen vds hilft das nicht, aber man kann ja erstmal schmalbandig Seiten nutzen/Geringen Footprint betreiben.

    Auch möchte man vielleicht behindern, das Nero123 Updates zieht, wenn z.B. Nero123 für illegal erklärt wird und man unter windows95 keine andere version laufen lassen kann und dann dafür von der Music-And-Films-Industry-Association auf ewig abgeholt wird oder zillionen Abmahnkosten latzen soll. Wir haben uns mit dem fiktiven Beispiel klar verstanden hoffe ich denn klar kommunizieren ist in Deutschland leider verboten. oder winamp wird verboten weil es skins nutzt, die entfernt an itunes erinnern und jeder der diesen Skin nutzen könnte, pauschal abgeholt/abgemahnt wird.

    Oder die Lotto-Mafia (siehe Oma mit Abzocke vor ein paar Tagen) oder die 39-Euro-Monats-Abo-Server Connections vom eigenen Rechner aus erzeugen (TrojnerMails o.ä.) um sich angeblich anzumelden und der Provider das dann natürlich zugunsten der 39Euro-Firma bestätigen kann dank der "freiwilligen" VDS. "Danke Provider".

    Man muss also total kontrollieren können, was der eigene Rechner macht und wohin er connected/welche name-auflösung er betreibt (du rufst ja auch nicht in der Vermittlung/TelefonAuskunft an und fragst nach der HandyNummer von BinLaden). Die Gründe sind natürlich ziemlich traurig und kein Ende absehbar.

  4. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: nemesis 28.01.09 - 19:53

    Tiny Firewall gibts schon sehr lange nicht mehr.

    Was man machen kann ist z.B. Privoxy in Verbindung mit Squid als Cache. Damit alle PCs in einem LAN einen solchen Server nutzten, gibt es die Möglichkeit einen Linux/BSD Rechner als transparente Bridge zu benutzten. Jeder Traffic läuft über diesen einen Server, und kann ggf. Filtern/Cachen.

  5. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: Siga 28.01.09 - 21:16

    Ja. Fli4L z.B. Aber der connected mir nicht mehr zu Eplus und die ChatPap/...Scripte unter WIndows und Linux vergleichen bin ich zu faul und gehe direkt übers Handy per XP ins Netz.
    Und der Nameserver ist nicht schlau genug für meine Zwecke denke ich. Aber er kann wenigstens wildcards, was ich bisher aber nicht genutzt habe. Alles Arbeit die man dann shären könnte/sollte. Eigentlich will ich aber kein Admin lernen und wer widerspricht soll vorher erst mal 10 Jahre lang sein Auto selber schweissen/reparieren und alles was die Hausfrau so braucht (Kühlschrank, Waschmaschine, Spülmaschine,...). Dann legt sich das.

    CoLinux ist nett und flutscht gut (nicht die Commandline, mit putty o.ä. geht man ernsthaft drauf, für LAMP u.ä. ist das super, pro Kunde ein Image mit den entsprechenden SoftwareVersionen, direkt vorführbar ohne internet usw). Sowas als Router/Bridge/... eintragen und dort filtern/cachen.

  6. Re: Leider kein Tiny-FireWall-2-Projekt :-(

    Autor: nemesis 29.01.09 - 08:16

    Siga schrieb:
    -------------------------------------------------------
    > Ja. Fli4L z.B. Aber der connected mir nicht mehr
    > zu Eplus und die ChatPap/...Scripte unter WIndows
    > und Linux vergleichen bin ich zu faul und gehe
    > direkt übers Handy per XP ins Netz.
    Zumindest Ubuntu 8.10 hat einige Einstellungen für UMTS bzw. EDGE, ggf. kannst du ja jemanden fragen, ob man diese nicht auch für Fli4l übernehmen könnte. Ich verwende selber einen UMTS-Router - 5 Euro Versandkosten mit Vertrag - und da macht sich Privoxy auf den Clients sehr gut um Bandbreite beim Surfen einzusparen.
    > Und der Nameserver ist nicht schlau genug für
    > meine Zwecke denke ich. Aber er kann wenigstens
    > wildcards, was ich bisher aber nicht genutzt habe.
    > Alles Arbeit die man dann shären könnte/sollte.
    Privoxy filtert entsprechende Werbungen, wenn es das ist, was du brauchst.

    > CoLinux ist nett und flutscht gut (nicht die
    > Commandline, mit putty o.ä. geht man ernsthaft
    > drauf, für LAMP u.ä. ist das super, pro Kunde ein
    > Image mit den entsprechenden SoftwareVersionen,
    > direkt vorführbar ohne internet usw). Sowas als
    > Router/Bridge/... eintragen und dort filtern/cachen.
    Kenne CoLinux jetzt nicht, aber eine transparente Bridge/Router ist in der Regel ein Rechner mit zwei Netzwerkkarten, der für die Clients normal nicht sichtbar im Netz zwischen Ihnen und dem Rest des Netzwerks/Internets hängt.
    In deinem Falle eher als Router mit einer Netzwerkkarte fürs LAN und Handy per USB fürs Internet.


  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Teamleiter IT-Betrieb (m/w/d)
    BAHN-BKK, Frankfurt am Main
  2. Consultant Backup (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. Testingenieur Prüfplatzautomatisierung (m|w|d)
    Bertrandt Ingenieurbüro GmbH, Ingolstadt
  4. Junior Consultant SAP Logistik (w/m/d)
    UNIORG Gruppe, Dortmund (remote möglich)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 399,99€
  2. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Geforce RTX 4080 im Test: Kann Spuren von künstlicher Intelligenz enthalten
Geforce RTX 4080 im Test
Kann Spuren von künstlicher Intelligenz enthalten

Nvidias neue 80er-Karte ist sehr schnell, bleibt teilweise unter 300 Watt und ist entsprechend leise. Das alles lässt sich Team Green gut bezahlen. Wir schauen, ob es den Preis wert ist.
Ein Test von Martin Böckmann

  1. Schmelzende Stecker 12VHPWR-Problem tritt offenbar auch ohne Adapter auf
  2. Nvidia Ada Lovelace Die Geforce RTX 4090 knackt Passwörter doppelt so schnell
  3. RTX 4000 Series Geforce RTX Titan hat sich in Tests wohl selbst zerstört

Hardware auf dem Schreibtisch: Der Tastaturen-Leitfaden
Hardware auf dem Schreibtisch
Der Tastaturen-Leitfaden

Was für Tastaturen, welche Größen und welche Layouts gibt es? Und was ist eine 40-Prozent-Tastatur? Wir geben Antworten auf Tastaturfragen.
Von Oliver Nickel

  1. Azio Cascade Slim Flache, kompakte Tastatur hat austauschbare Switches

80 Plus: Netzteile richtig auswählen
80 Plus
Netzteile richtig auswählen

Bei jedem Rechnerkauf stellt sich die Frage nach dem Netzteil: Reichen eigentlich 500 Watt oder sollte man lieber der Empfehlung mit 850 Watt folgen?
Ein Test von Martin Böckmann

  1. Brandgefahr Der 12VHPWR-Stecker hat ein Problem
  2. MEG Ai1300P PCIE5 MSI hat das erste ATX-3.0-Netzteil
  3. Galliumnitrid Anker präsentiert kompakte GaN-Ladegeräte