Comment faire pour que Partage d'écran + Pare-feu sans port 5900 soit ouvert sous OS X

1

Sur 10.6.8, si le partage d'écran et le pare-feu sont activés, le port 5900 est automatiquement ouvert dans le pare-feu. C’est grave, car je veux accéder à ce port par le biais de la redirection de port ssh et ne pas l’autoriser à s’ouvrir au monde.

Lorsque je vais dans Partage, il n'y a rien dans les paramètres de l'ordinateur, et dans les paramètres avancés ... du pare-feu, je ne peux pas interdire les connexions entrantes pour le "partage d'écran".

Je peux également me connecter directement à la machine avec VNC et le port 5900.

Quelqu'un sait comment résoudre ce problème?

La solution est: 

ipfw -f flush
ipfw add 10000 allow ip from any to any via lo0
ipfw add 20000 deny ip from any to any dst-port 5900 in

Après ce qui précède, je peux accéder au port 5900 via la redirection de port, mais pas directement de l'extérieur de la machine.

macos security firewall vncserver e40
la source
"IPFW était obsolète sous OS X 10.7 et complètement supprimé sous OS X 10.10; il a été remplacé par PF." - pleiades.ucsc.edu/hyades/PF_on_Mac_OS_X
Ryder

Réponses:

1

Vous pourrez peut-être le remplacer en ajoutant votre propre ipfw règle de pare-feu pour bloquer le port 5900. Commencez par man ipfw et aller de là.

Spiff
la source
Je m'attendais à ce que "ipfw -a list" indique l'état actuel du pare-feu, mais apparemment, l'application de pare-feu n'utilise pas ipfw. Bizarre.
e40
@ e40 Vous avez raison, le "pare-feu de l'application" par défaut n'utilise pas ipfw. Je pense que le pare-feu strict est toujours présent dans Snow Leopard. Et quand vous irez à Lion ou à Mountain Lion, vous découvrirez que ipfw a été déconseillé en faveur de pf.
Spiff
Crikey! Je vais devoir lire sur pf. Merci.
e40