config OSX firewall programmatically

osx firewall configuration file is : /Library/Preferences/com.apple.alf.plist

the default plist and firewall programs are under:/usr/libexec/ApplicationFirewall

To configure the firewall to block all incoming traffic:

  /usr/libexec/ApplicationFirewall/socketfilterfw --setblockall on

To see if block all is enabled:

  /usr/libexec/ApplicationFirewall/socketfilterfw --getblockall

  The output would be as follows, if successful:

    Firewall is set to block all non-essential incoming connections

A couple of global options that can be set. Stealth Mode:

  /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on

To check if stealth mode is enabled:

  /usr/libexec/ApplicationFirewall/socketfilterfw --getstealthmode

To turn on firewall logging:

  /usr/libexec/ApplicationFirewall/socketfilterfw --setloggingmode on

To control the verbosity of logs, using throttled, brief or detail:

  /usr/libexec/ApplicationFirewall/socketfilterfw --setloggingopt: detail

To start the firewall:

  /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on

To sanity check whether it’s started:

  /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate

To allow signed applications:

  /usr/libexec/ApplicationFirewall/socketfilterfw --setallowsigned on

To check if you allow signed apps:

  /usr/libexec/ApplicationFirewall/socketfilterfw --getallowsigned

To show the status of each filtered application:

  /usr/libexec/ApplicationFirewall/socketfilterfw --listapps

To check if an app is blocked:

  /usr/libexec/ApplicationFirewall/socketfilterfw –getappblocked /Applications/MyApp.app/Contents/MacOS/myapp

This shows the number of exceptions, explicitly allowed apps and signed exceptions as well as process names and allowed app statuses. There is also a list of TRUSTEDAPPS, which will initially be populated by Apple tools with sharing capabilities (e.g. httpd & smbd). If you are enabling the firewall using a script, first sign your applications that need to allow sharing but are not in the TRUSTEDAPPS section by using the -s option along with the application binary (not the .app bundle):

    /usr/libexec/ApplicationFirewall/socketfilterfw -s /Applications/MyApp.app/Contents/MacOS/myapp

  Once signed, verify the signature:

    /usr/libexec/ApplicationFirewall/socketfilterfw -v /Applications/MyApp.app/Contents/MacOS/myapp

  Once signed, trust the application using the –add option:

    /usr/libexec/ApplicationFirewall/socketfilterfw --add /Applications/MyApp.app/Contents/MacOS/myapp

To see a list of trusted applications:

  /usr/libexec/ApplicationFirewall/socketfilterfw -l

时间: 2024-10-24 15:01:51

config OSX firewall programmatically的相关文章

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

pix实验指南

PIX实验指南 一. PIX的基本使用 拓扑图 需求 PIX采用三向外围结构,DMZ区域采用静态IP,inside区域采用DHCP方式获取IP,PIX充当DHCP服务器,Client需要采用PAT方式访问互联网,Client访问内部服务器采用直接路由的方式,192.168.2.80服务器需要对外发布到TCP80端口,并拒绝外部到outside接口的任何ICMP通信,内部inside到DMZ和互联网可以采用ICMP测试联通性. 配置 PIX Version 7.2(1) ! hostname pi

  CCNA实验三十八 ZFW(区域防火墙)

CCNA实验三十八 ZFW(区域防火墙) 环境:Windows XP .Packet Tracert5.3 目的:了解ZFW的原理与基本配置 说明: ZFW(Zone-Based Policy Firewall),是一种基于区域的防火墙,基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我们想要的策略.但是,有时某些接口之间可能不需要彼此使用策略,那么这样的接口只

Linux 服务器安全技巧

毋庸置疑,对于系统管理员,提高服务器的安全性是最重要的事情之一.因此,也就有了许多针对这个话题而生的文章.博客和论坛帖子. 一台服务器由大量功能各异的部件组成,这一点使得很难根据每个人的需求去提供定制的解决方案.这篇文章尽可能涵盖一些有所裨益的小技巧来帮助管理员保证服务器和用户安全. 有一些常识是每个系统管理员都应该烂熟于心的,所以下面的几点在本文将不会提及: l   务必保证系统是最新的 l   经常更换密码 - 使用数字.字母和非字母的符号组合 l   给予用户最小的权限,满足他们日常使用所

防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

开源入侵检测系统SELKS系统搭建

一.系统环境配置 系统环境:centos7x64      ip地址:172.16.91.130 1.设置静态IP地址 [[email protected] backlion]#vi  /etc/sysconfig/network-scripts/ifcfg-* BOOTPROTO=static #dhcp改为static(修改) ONBOOT=yes #开机启用本配置,一般在最后一行(修改) IPADDR=172.16.91.130  #静态IP(增加) GATEWAY=172.168.91.

24-思科防火墙:ASA透明防火墙实验

一.实验拓扑:二.实验要求:1.show mode:单模式:show firewall:路由模式-->firewall transparent:ASA清除所有配置:切换透明模式是不需要重启的:透明模式的ASA是二层设备,所以这里的接口不能在配IP地址了,按Tab键也没有效果的:2.要配置一个管理IP地址,其实所谓的管理IP地址就是桥的主IP:配置:interface bvi 1,并配置IP地址:100.1.1.100,组是可以配IP地址的:3.因为有2个组,所以网管IP必须是有2个,增加B2组管

27-思科防火墙:A/S实验

一.实验拓扑:二.实验要求:1.2个ASA模式都为单模式.路由模式: 三.命令部署:1.基本配置:路由器基本配置:R1(config)#int f0/0R1(config-if)#no shutdownR1(config-if)#ip add 202.100.1.1 255.255.255.0R1(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.10 R2(config)#int f0/0R2(config-if)#no shutdownR2(config-

ASA高级配置

防范IP分片.gong.击1)IP分片的原理数据字段的长度最大为1500字节,这个数值被称为最大传送单元(Maximun Transmission Unit MTU).不同的网络有不同的MTU值,如以太网的MTU值是1500字节,PPP链路的MTU值是296字节.当IP数据报封装成帧时,必须符合帧格式的规定,如果IP数据报的总长度不大于MTU值,就可以直接封装成一个帧,如果IP数据报的总长度大于MTU值,就必须分片,然后将每一个分片封装成一个帧.再分片.每一个分片都有它自己的IP首部,可以独立地