hany

Members
  • Content Count

    603
  • Joined

  • Last visited

About hany

  • Rank
    ACDT ACHDS gEEk

core_pfieldgroups_99

  • Nome
    Hany
  • Città
    , ,
  • Interessi
    le mele
  • Lavoro
    la mela

Contact Methods

  • AIM
    hanymac
  • Website URL
    http://www.hanynet.com
  1. Vi segnalo che IceFloor 1.3 è ora disponibile. L'applicazione è stata completamente ridisegnata e arricchita di moltissime opzioni fra le quali la configurazione di NAT e port forwarding e l'uso di Emerging Threats per bloccare gli host più pericolosi. Ovviamente è gratuito e open-source. Potete scaricarlo dal mio sito hanynet.com. ciao! hany
  2. Ciao Ken, grazie per le tue parole di apprezzamento e supporto E' davvero raro sentirle nella mia lingua, la maggior parte (99,99%) dei feedback su WaterRoof negli ultimi 6 anni è arrivata in inglese, francese, tedesco, cinese, giapponese... ma molto poco in tricolore, ahimè 1)Little Snitch, Hands Off e il firewall integrato nelle preferenze di sistema di Mac OS X (dalla 10.5 in poi) sono APPLICATION FIREWALLS. Controllano le comunicazioni di rete dal punto di vista delle applicazioni: riconoscono quale applicazione fa traffico su rete e ti consentono di bloccarle o farle passare. Se il tuo scopo è monitorare il traffico di applicazioni specifiche allora hai scelto bene. Ad esempio potresti bloccare i banner in entrata, o la comunicazione di "statistiche di utilizzo" in uscita. Così' come potresti bloccare accesso ad alcuni siti usando un browser ma lasciarli accessibili da un altro browser. Eccetera. Lo scopo degli application firewall è controllare il traffico specifico effettuato da un'app, e quindi in particolar modo il traffico in USCITA. Il fatto che possano controllare il traffico in entrata è secondario e a volte opzionale. 2)La rilevazione di una macchina in rete (LAN) può avvenire in molti modi, non solo usando ping (ICMP). Nascondere una macchina dalle altre della LAN può essere complicato, dipende anche dall'infrastruttura (switch/hub e protocolli usati). L'opzione che hai trovato (stealth mode, che come nome suona un po' di supercazzola, ma fa niente) è niente meno che un semplice filtro sul protocollo ICMP. Che tu lo filtri con IPFW, con PF, con un altro network firewall o con un application firewall come ALF (quello integrato di OSX che si setta dalle preferenze di sistema, ossia quello che hai usato tu) cambia poco. Semplicemente si dice alla macchina di non rispondere alle richieste di echo ICMP. Non c'e' un modo corretto per farlo, basta farlo E' un modo rozzo di nascondersi: è "security through obscurity". E' come se tu dipingessi la porta di casa con il colore del muro sperando che nessun ***** la noti Rozzo ma efficace, se unito ad altri sistemi di protezione E controllo. 3)White list... non saprei sinceramente non potrei mai fidarmi di una istituzione terza che mi fornisce un elenco di IP indesiderati... gli IP possono cambiare, le persone si spostano... i bot anche. Non so, non la vedo come una soluzione praticabile. IPFW, PF, ALF sono integrati in OSX. Little Snitch e HandsOff sono software di terze parti. Non esiste una regola precisa che ci dica quale soluzione sia la migliore. Dalla mia esperienza la soluzione più logica per un firewall integrato al S.O. risponde alle seguenti caratteristiche: a) funziona b) mi ricordo come configurarla c) non mi costringe a controllare ogni giorno se ci sono update di vari sw di terze parti. Indipercui, se ti trovi bene usando LittleSnitch e le sue notifiche, allora bene, continua a usarlo! Se però la parte di filtro ICMP devi attivarla su ALF (preferenze di sistema) allora nessun problema, fallo pure. Usare più software firewall insieme non è per forza complicato, se si sa cosa si fa. Mi è molto difficile entrare più nello specifico del tuo caso. Molto dipende dalla configurazione della tua rete e da cosa ci fai. Come al solito sono stato lungo e forse poco chiaro ma la materia, almeno per me, è di una complicazione allucinante ed è davvero complicato scriverne: nella testa ho tutto chiaro e limpido, ma quando si tratta di mettere giù parole è davvero complicato. Spero di esserti stato d'aiuto, naturalmente sono a tua completa disposizione. Ciao!
  3. Utilizzare contemporaneamente un application firewall (LittleSnitch o altro) e un network firewall (PF o altro) può avere senso. Lo ha per Apple che da anni "usa" (nel senso che consente, di fatto, di usare) contemporaneamente i due tipi di firewall su Mac OS X a partire dalla versione 10.5. Application firewall e Network firewall sono due cose diverse, fanno cose diverse. Sono due diversi sistemi per filtrare le connessioni tcp/ip da/per il tuo mac. La necessità di utilizzare uno, l'altro o entrambe dipende dal tipo di uso che si fa del mac e dall'ambiente in cui si trova. Perciò non esiste una risposta secca. Posso dirti una cosa: la prima causa di vulnerabilità è la complessità , quindi se vuoi mantenere un sistema con 2 firewall deve "valerne la pena". Se puoi ottenere lo stesso "livello di protezione" usando un solo firewall è meglio. Ma qui scendiamo a livello di opinione, e in ogni caso il "livello di protezione" non è un valore finito e conoscibile, quindi... valuta tu. Un firewall configurato a dovere in genere non rallenta un sistema. Un firewall sovraccarico potrebbe al limite alzare la latenza e/o mandare in timeout alcune connessioni. Esiste anche un caso limite (dal punto di vista dell'amministratore è una vulnerabilità ) che consente di bloccare un sistema su cui giri un applicativo firewall, ma è facile prevenirlo. Il punto è che l'implementazione di PF su OSX è piuttosto acerba, quindi la vera domanda è: in quale contesto, su Lion, ha più senso usare PF invece che IPFW? Sto tenendo traccia dei vari kernel panic, presto avrò la risposta grazie a tutti ciao
  4. Vorrei segnalarvi che ho postato l'ultima versione beta di IceFloor. L'applicazione ora è completa e permette la configurazione del firewall PF con pochi click partendo da un'interfaccia molto semplice e (spero) chiara. E' inoltre possibile aggiungere regole o anchors manualmente, visionare i log di pf, le statistiche, ecc ecc. Richiede osx 10.7.3; non compatibile con osx 10.7 server (che come firewall di sistema usa ipfw e non pf.) Naturalmente è free e opensource, i sorgenti sono a vostra disposizione per il download, così come l'applicazione, sul mio sito personale .:h4nyn3t:. Per ora è tutto in inglese, inclusa documentazione (inglese un po' povero tra l'altro:D) Ho ricevuto alcuni feedback da utenti del forum... grazie mille critiche, consigli e contributi sotto forma di codice sono molto ben accetti
  5. hany

    OS X 10.8 Mountain Lion

    non credevo di scatenare una discussione su una cosa così banale io ho notato che funziona così: l'azienda ha bisogno di nuovi mac, li compra e ci trova su osx 10.7, e sono costretti a usare cs4 perché il fornitore bla bla bla. E' stupido, illogico, quello che volete, concordo... ma succede. Non è "colpa" di apple o di osx o adobe. Non è questione di colpe, è proprio un dato di fatto. Spesso le aziende sono costrette a rimanere indietro, a volte sono costrette ad aggiornarsi... non è sempre questione di "scelta". Quando poi dico al cliente "è colpa di adobe mica di apple" lui mi guarda come a dire... "chemmifrega, come lo consegno sto lavoro se indesign si chiude su lion e sono costretto a lavorare sul g4?" Essere aggiornati è importante ma... ci sono sempre tanti ma, prima di farlo bisogna provare e riprovare 1000 cose, e a volte capita l'inghippo. Sul mio tavolo ci sono 5 mac che uso per sviluppo, 4 hanno già (anche) mountain lion, quindi chi vi parla è uno che "aggiorna"
  6. hany

    OS X 10.8 Mountain Lion

    ho letto benissimo, non scrivo di cose che non conosco. All'utente medio di app adobe frega poco "quale sia la causa"... siccome è il mio lavoro te lo posso garantire, le aziende che conosco io che hanno provato lion sono rimaste quasi tutte a snowleopard a causa della necessità di usare ancora cs4 che va MALE su lion. E' la mia esperienza, magari la tua è diversa. Non mi risulta che i problemi (superabili, conoscendo e volendosi sbattere) della cs4 siano stati risolti brillantemente su 10.7.3. Ho anche una bella lista di scanner 10.7 ready che NON VANNO su 10.7, se vuoi te la passo Cmq il problema l'ha posto foxtrot, non io... foxtrot che tra l'altro non ha più scritto quindi non so a chi ti riferisci quando dici "rispondi poco e male" e "sei reticente"... dovresti leggere prima di postare
  7. hany

    OS X 10.8 Mountain Lion

    Known issues | Adobe products | Mac OS 10.7 Lion qui c'e' un "breve" elenco di applicazioni e gingilli piuttosto noti che non "girano alla perfezione" su Lion solo per fare un esempio... ma la lista è ben più lunga.
  8. hany

    OS X 10.8 Mountain Lion

    a proposito di 32bit/64bit.... sh-3.2# uname -a Darwin MacPro.local 12.0.0 Darwin Kernel Version 12.0.0: Mon Jan 30 18:40:46 PST 2012; root:xnu-2050.1.12~1/RELEASE_I386 i386 ...come potete vedere anche 10.8 Mountain Lion, per ora, consente il boot usando il kernel a 32bit. Non so se può essere usato su mac a 64bit con EFI32 (tipo macpro1,1), ma entro sera lo scoprirò per ora posso dire che su vmware4.1 funziona egregiamente, tools inclusi. Se a qualcuno interessa come installare vmware tools su 10.8 consiglio di fare un giro su robservatory.com. a proposito di "applicazioni firmate"... facendo upgrade da 10.7.3 l'impostazione di default che mi sono trovato è quella di consentire l'esecuzione di tutte le applicazioni. Le app carbon non vanno, in compenso vanno ancora le app applescript-studio deprecate già in 10.6. a proposito di firewall... IPFW c'e' e funziona ma solo se si disattiva PF, che ora è attivo di default e ha una configurazione standard più complessa e strutturata di quella di 10.7.3. Dal punto di vista tecnico è cambiato molto poco. i gingilli ios-style sono sicuramente fichi, mi fido di voi
  9. LittleSnitch è molto comodo ma bisogna saperci convivere... Le cose su 10.8 sembrano cambiate... ora PF è abilitato di default e deve essere disabilitato (pfctl -d) perché IPFW funzioni. Il traffic shaping di IPFW è definitivamente morto, quello di PF non è ancora stato implementato... è una preview, speriamo la cosa migliori. Le applicazioni applescript studio funzionano ancora, per ora :)
  10. Grazie a te allora... per rispondere alla tua domanda purtroppo devo dilungarmi un po', spero di non annoiarti Su Lion ci sono non uno, non due, non tre ma TRE FIREWALL EMMEZZO! Mi spiego... 1) IPFW , e' il firewall di FreeBSD, presente su osx dalla versione 10.0DP3, quindi potremmo dire "da sempre". E' un network firewall, ossia riconosce indirizzi IP e porte e permette di bloccare selettivamente il traffico di rete. WaterRoof è una interfaccia grafica usata per configurare appunto IPFW, cosa che potresti tranquillamente fare a mano col terminale. IPFW in Lion e' "deprecated" che in "apple slang" significa "c'e' ancora, funziona, ma presto lo toglieremo da osx, quindi potete usarlo ma fareste bene ad abituarvi al suo sostituto, pf." 2) PF, è il firewall di OpenBSD, molto più potente e sofisticato di IPFW, e' un network firewall anche lui, come IPFW si configura da linea di comando. IceFloor è (sarà ..) una interfaccia grafica per velocizzare questa operazione di configurazione. L'implementazione di PF di apple è diversa da quella di OpenBSD. PF su osx viene (dovrebbe essere) usato "dinamicamente" dalle applicazioni, stando ai commenti che si leggono nei file di configurazione di osx. In realtà ' può anche essere usato nel modo "classico", come su openbsd. E' complicatissima 'sta cosa. Aggiungiamo che per ora pf su osx fa schifo: manca il traffic shaping (ALTQ) che permette la gestione della banda, e causa kernel panic usando la funzione synproxy... insomma è un parto difficile. 3) ALF, è l'application layer firewall, quello che si configura dalle "Preferenze di Sistema". Lavora a livello di applicazioni e non di network nel senso che le regole si applicano in modo specifico al traffico generato da/per una specifica applicazione. 3,5) In Lion ALF si comporta diversamente dalle precedenti release di osx, infatti per alcune sue funzioni usa PF, per altre no. Ad esempio abilitando la modalità stealth, ALF non farà altro che attivare due regole di PF su una anchor (=contenitore di regole) dedicata. Idem per airdrop e condivisione internet. IPFW e PF, di fatto, possono lavorare insieme. Di conseguenza IceFloor e WaterRoof possono lavorare insieme. Ed entrambi, è previsto da osx, lavorano insieme ad ALF. Una connessione sarà quindi possibile solo se NESSUNO DEI TRE la blocca, semplice. Cioè.. quasi semplice Seconda risposta: la possibilità di effettuare o meno connessioni (FTP o qualsiasi altra cosa) dipende esclusivamente da IPFW, PF e ALF. IceFloor è in beta e questo sicuramente limita la possibilità di configurare PF usando l'interfaccia grafica, ma non influisce in alcun modo sul fatto di poter configurare pf da terminale, contemporaneamente. IceFloor per ora è molto limitato, è più che altro un proof of concept. Ma ciò che fai con IceFloor (o con qualsiasi altro frontend per pf o ipfw) può sempre essere "corretto" o "ottimizzato" a mano, col terminale. Anzi, è buona norma farlo sempre. Io ho creato WaterRoof per "imparare" ipfw, solo dopo è diventato quello che è. IceFloor nasce per la mia necessità di imparare pf, e piano piano spero riuscirò a renderlo pratico e utile. Entro la settimana rilascerò la beta2, già molto più funzionale allo stato in cui si trova oggi. Il grosso problema, per ora, è che sembra PF ad essere in beta Nonostante i tanti problemi, nell'uso di PF non ho comunque riscontrato nessuno dei problemi di cui hai parlato. Scusa sono stato un po' lungo... ciao!
  11. Forse qualcuno saprà che dalla versione 10.7 di OS X il firewall IPFW è stato "deprecato", ossia messo in una sorta di quarantena in attesa di venire eliminato (molto probabilmente) dalla prossima release di Mac OS X (10.8). Pur essendo (quasi) perfettamente funzionante, esso è stato sostituito (tecnicamente parlando, per ora, è stato "affiancato") da PF. PF è un firewall molto più sofisticato di IPFW, viene direttamente da OpenBSD. L'implementazione Apple di PF (ovviamente) è particolare. PF è usato in modo dinamico da OS X: ad esempio abilitando la condivisione internet, airdrop, oppure la funzione "stealth" delle Preferenze di Sistema in realtà OS X abilita alcune regole di PF. PF si configura da linea di comando, come IPFW. Tuttavia la sintassi e soprattutto la logica di funzionamento dei due firewall è molto diversa. Ho sviluppato per anni WaterRoof, una applicazione (gratuita e open source) che semplifica la configurazione di IPFW. Ora ho iniziato lo sviluppo di IceFloor, che non è altro che un'interfaccia grafica (frontend) per il nuovo firewall PF. Anche questa applicazione è gratuita e open source. Se qualcuno vuole partecipare allo sviluppo o è interessato in qualche modo può contribuire. Critiche, consigli, idee e contributi in forma di codice sono benvenuti. Ho appena rilasciato la prima versione pubblica, è la 1.0 beta 1. Potete scaricarla liberamente (inclusi i codici sorgenti in formato xcode3) dal mio sito personale .:h4nyn3t:.. Grazie! Hany
  12. Ciao a tutti, pensavo di condividere con voi uno strumento che ho realizzato per un mio preciso bisogno. Premessa: Mac OS X e' un gran sistema operativo, e come tale e' provvisto di un gran bel firewall software integrato: ipfw. Gia' noto agli utilizzatori di altri sistemi UNIX-like (come FreeBSD), ipfw versione 2 consente sia di creare regole statiche/dinamiche per filtrare il traffico di rete, sia di regolare la banda disponibile alle diverse applicazioni/utenti. Problema 1: ipfw e' abbastanza complicato da utilizzare, ma con un po' di pratica risulta essere decisamente il piu' semplice fra tutti i piu' diffusi software firewall per UNIX. Problema 2: anche se conoscete BENE ipfw, puo' risultare scomodo ricorrere al terminale ogni volta che si vuole modificare un settaggio del firewall. Risulta ancora piu' scomodo effettuare ricerche o statistiche sui log. Ho pensato di utilizzare XCode, uno strumento facile e gratuito, per realizzare un frontend per ipfw, ossia una "interfaccia grafica" dedicata a ipfw. Lo scopo e' quello di semplificare l'uso di ipfw e di consentire l'automazione di alcuni fra i task piu' comuni. Il software in questione si chiama WaterRoof, ed e' scritto in Applescript e compilato come applicazione Cocoa-AS universal binary. Richiede Mac OS X 10.4.2. WaterRoof consente di aggiungere/rimuovere/spostare/modificare/combinare regole con facilita'. Consente la visione e l'analisi delle regole dinamiche e delle pipes/queues per la limitazione selettiva della banda. Consente ricerche e statistiche nonche' rapporti in tempo reale sui log del firewall. Inoltre e' possibile installare uno startup script che consente di attivare le regole scelte al riavvio del mac. WaterRoof e' un software libero, gratuito e opensource. Vi invito a scaricare i codici sorgenti e a verificarne la validita' prima di provare WaterRoof. Se volete potete pero' scaricare direttamente il binario universale precompilato pronto per essere utilizzato. Ho creato WaterRoof perche' avevo bisogno di un frontend gratuito per ipfw che gestisse la banda e i log.. e non c'e'. O almeno non l'ho trovato. Siccome non sono un programmatore ho fatto un po' fatica a realizzarlo, e i piu' smaliziati fra voi sorrideranno vedendo i castroni nel mio codice, pero' posso dirvi che ormai sono 20 giorni che ci lavoro tutte le notti, e funziona. O almeno ho cercato di testarlo a fondo. Mi piacerebbe avere le vostre impressioni d'uso e i vostri consigli. Il software non e' ancora localizzato in italiano, ma se la cosa puo' avere senso allora posso anche farlo. Attendo fiducioso!! AH... dimenticavo... trovate tutto qui http://www.hanynet.com/waterroof ciao e grazie dell'attenzione !! )
  13. E' un po' che non posto su questo forum, ma noto con piacere che non sono venuti a mancare ne' lo spirito polemico dei vecchi marmittoni storici, ne' la immaturita' di fondo di certi utenti dotati di paraocchi digitale. Parto da una considerazione di fondo: ben venga ogni nuovo software concepito per MacOSX. Punto. Davvero io non riesco a concepire chi vorrebbe rimanere isolato nella sua interfaccina cocoa. Poter usare software GNU/X11 oppure Classic (per i ppc) oppure Windows (per gli x86) e' una GRAN cosa. Si tratta in ogni caso di una "possibilita'" e nulla piu', davvero non capisco cosa ci sia di sbagliato o pericoloso. Se un programmatore o una software house e' intenzionata a sviluppare un software o un porting di un software su MacOSX, non sara' certo frenata a causa di Wine o di qualche virtualizzatore. Il nostro PC marchiato Apple, che noi ci ostiniamo a chiamare "il nostro Mac", ora e' piu' versatile piu' potente e piu' *utile* di quanto non lo fosse prima, e forse questo spaventa un po'. Forse spaventa vedere Photoshop andare piu' veloce su parallels che su rosetta, o forse qualcuno e' semplicemente e tafazzianamente legato all'idea di usare uno strumento "diverso", "castrato", "isolato" come di fatto erano i computer Apple con powerpc. Ne ho in casa una ventina, ma sono spenti. Sono gloriosamente spenti. E rimarranno qui per i miei nipoti. Oggi sono felice di usare un PC marchiato Apple, sono felice di usare il sistema operativo piu' avanzato del mondo nel campo del desktop e della digital life (MacOSX). E sono anche felice di poter usare il 99% di TUTTO il parco software (umano e non) degli ultimi 30 anni. Chi ha paura o chi snobba questa rivoluzione puo' rivolgersi a ebay, per i prossimi anni sara' pieno di computer Macintosh "che non fanno andare parallels". Per il resto io dico "avanti cosi'!" Ben venga la possibilita' di usare explorer senza pagare una licenza di windows. Ben venga un virtualizzatore che mi fa usare ubuntu a una velocita' strepitosa. Ben venga gimp con tutti i suoi bug e la sua interfaccia elementare e confusa. Ben venga tutto cio' che ci permette di SCEGLIERE LIBERAMENTE. Hany.
  14. hany

    10.4.5 rilasciato

    un paio di appunti, giusto per contribuire... Innanzitutto gli update "Delta" sono 2 versioni separate, una per intel e una per powerpc. La versione "Combo" invece e' destinata ad entrambe le architetture, almeno cosi' dice la documentazione di Apple.com. Altra cosa importantissima sugli update: e' normale che lo stesso identico update abbia dimensioni diverse su mac diversi. Ossia, usando l'applicazione Software Update.app molto spesso ci vengono proposti update Delta "ridotti", costruiti "su misura" per il nostro mac, rinpiccioliti per risparmiare banda e tempo. Quindi qualcuno puo' trovarsi un 10.4.5 da 6 Mb, qualcunaltro da 20Mb. E' normale, previsto, e ben documentato sulla Knowledge Base di Apple.com. Questo sistema di "risparmio" e' stato introdotto con MacOSX 10.3.4. In /Library/Receipts e Packages trovate ricevute ed eventuali copie di backup dei pacchetti scaricati. Se nel nome del .pkg c'e' il termine "PATCH", allora siamo in presenza di un update Delta "smagrito". Assolutamente NON USATELO su altri mac, anzi, addirittura direi di BUTTARLO, per non incorrere in spiacevoli conseguenze. Per quanto riguarda 10.4.5 in se'... nessun problema ne' su intel ne' su powerpc. Anzi, sembra che rosetta sia un po' piu' veloce, e iChat funziona meglio. Buona giornata.
  15. Non ho usato un trucco, andreailcugino, ho usato l'applicazione /Developer/Applications/Performance\ Tools/Quartz Debug.app che serve a attivare/disattivare alcune funzioni di sistema legate a Quartz. Ma avrei potuto anche fare 'a mano' modificando il relativo .plist. Non sarebbe comunque stato un "trucco", ma lo stesso identico sistema che usera' apple quando vorra' abilitare definitivamente questa opzione. A parte questo.. io non credo che QE2D sia il problema.. anche perche' questo e' sempre stato l'unico problema di QE2D, da quando e' stato rilasciato Tiger. Se cio' che dice Luca e' vero, ossia che vogliono ripensare la GUI facendola resolution-indipendent, allora forse sara' proprio il nuovo windowserver a dover 'adattarsi' a QE2D, e non il contrario. Se invece e' come dici tu, allora probabilmente vedremo QE2D prima di Leopard.