Как открыть порты mac os
Как открыть порты в брандмауэре Mac OS X
Mac OS X поставляется со встроенной службой брандмауэра, которую можно использовать для защиты вашего Mac от угроз безопасности в Интернете. Брандмауэр расположен между OS X и Интернетом и позволяет входящему трафику проходить только через определенные порты. OS X управляет брандмауэром для каждого отдельного приложения, но иногда вы хотите открыть определенный порт на вашем Mac.
Вы можете разрешить или заблокировать входящий трафик для определенных приложений, используя настройки безопасности, но вы можете открыть определенные порты в терминале. Раньше это делалось с использованием ipfw, но в OS X 10.10 и более поздних версиях вы используете новую команду: pfctl.
Как использовать Системные настройки в Mac OS X Yosemite
Как подключить Mac к сети и обмениваться файлами между компьютерами Mac по сети
Терминальные советы и хитрости: 10 терминальных проектов
Как работает брандмауэр в Mac OS X?
Это может помочь прояснить понятие портов и брандмауэров. Порты — это особые соединения между вашим Mac и сетью, а межсетевой экран находится между вашим Mac и сетью и решает, какой порт открыт, а какой закрыт. Представьте себе IP-адрес вашего Mac (используемый для подключения к сети) как отель, порты как номера комнат и приложения в качестве гостей. С выключенным межсетевым экраном каждое приложение имеет доступ к каждой области. Брандмауэр OS X разрешает доступ только к определенным областям.
Использование брандмауэра OS X для блокировки и открытия портов
Брандмауэр в OS X отключен по умолчанию. Это может показаться вам странным, потому что Apple так заинтересована в безопасности. Тем не менее, большинство компьютеров больше не подключаются напрямую к Интернету через модем DSL, вместо этого большинство из них используют маршрутизатор, предоставленный их поставщиком услуг Интернета (или через корпоративную сеть). В любом случае предоставляется аппаратный брандмауэр, как правило, как часть NAT (трансляция сетевых адресов).
Другая странность заключается в том, что брандмауэр OS X управляет портами не индивидуально, а отдельно для каждого приложения. Следуйте этим настройкам, чтобы получить доступ к параметрам брандмауэра:
Охрана Окно конфиденциальности отображает окно с выбором опций:
Как открыть порт приложения в брандмауэре OS X
Если у вас включен брандмауэр OS X, вы можете установить новое приложение, которое требует, чтобы вы разрешили ему доступ через брандмауэр. Вам решать, доверяете ли вы приложению. Вот как разрешить приложению принимать входящие соединения.
OS X вручную управляет портами, запрошенными приложением, и открывает их соответственно. Большинство пользователей, использующих брандмауэр OS X по умолчанию, должны использовать этот метод для разрешения и блокировки входящих подключений, а не открывать порты вручную. Однако некоторые опытные пользователи, такие как веб-разработчики или системные администраторы, имеют законную необходимость открыть определенный порт.
Как открыть определенный порт в брандмауэре OS X
Можно открыть определенный порт в OS X, хотя вам нужно будет перейти в терминал. В OS X 10.10 вы используете команду pfctl (используйте man для инструкций). Более ранние версии OS X используют ipfw, который теперь устарел. Выполните эти шаги, чтобы открыть определенный порт (в этом примере 8080) в OS X.
Прочитайте определения других технических терминов, связанных с Apple, в техническом жаргоне.
Настройка брандмауэров в OC Apple macOS 10
Графическая оболочка брандмауэра в операционной системе Apple macOS у любого более или менее подготовленного пользователя вызывает вопросы из-за отсутствия возможности тонкой настройки собственных правил. Она как «рубильник», имеющий лишь два пограничных состояния «ВКЛ» и «ВЫКЛ». О том, что с этим делать и как настроить собственные правила, например, открывающие тот или иной порт в macOS, мы и поговорим в данной заметке.
Под капотом графической оболочки этого упрощённого брандмауэра в ОС Apple macOS скрывается демон socketfilterfw, известный также как «Application Firewall» или «Socket Firewall».
Как в macOS включать pf автоматически во время загрузки ОС?
После внедрения System Integrity Protection (SIP) в OS X El Capitan (10.11) важные для системы каталоги и файлы пользователю доступны только в режиме чтения, поэтому файл демона /System/Library/LaunchDaemons/com.apple.pfctl.plist отредактировать без отключения SIP возможным не представляется. Однако, отключать защиту целостности системы для модифицирования системных файлов затея, сама по себе, не очень правильная. Поэтому мы не будем рассматривать такой метод.
Мне известно два способа заставить pf загружаться по умолчанию при старте системы – запускать pf скриптом из собственного домена или запускать в режиме обработки rc.server
Запуск pf в качестве демона
Суть этого способа заключается в том, чтобы создать собственного демона, который будет запускать pf напрямую, либо через скрипт:
В примере будем использовать скрипт, который будет включать pf и загружать кастомную конфигурацию:
Разрешим выполнение скрипта:
Создадим файл кастомной конфигурации pf:
Настроим правила файрвола под свои нужды:
Обратите внимание на то, что в нашем примере таблица «Temp» пустая. Она необходима для динамического управления правилами, без перезапуска PF.
Проверим конфигурацию на наличие ошибок:
Если ошибок нет, загрузим службу в систему:
Проверим состояние pf:
Если по какой-то причине нет желания связываться с запуском скрипта из демона и хочется запускать PF напрямую, например, без правил Apple, то можно изменить контент XML таким образом, чтобы запускался не скрипт, а pfctl с указанным конфигом.
В этом случае какие-либо параметры из /etc/pf.conf загружены не будут.
Запуск pf в режиме обработки rc.server
Ситуация в этом случае аналогичная, после запуска macOS выполняется скрипт, который запускает pfctl с указанной конфигурацией.
Скрипт можно запустить вручную командой вида:
Таким образом каждый раз при загрузке macOS файрвол pf будет загружаться в систему с настроенными правилами автоматически.
Базовые примеры работы с pfctl
Далее небольшая шпаргалка с примерами использования разных ключей pfctl, которые могут пригодится в работе.
Перезапуск pf с указанной конфигурацией:
Просмотр всех подключенных правил:
Просмотр системных подключенных правил для работы Bonjour:
Добавить 10.185.62.15 в таблицу Temp:
Просмотреть адреса в таблице Temp:
Удалить 10.175.62.15 из таблицы Temp:
Удалить все записи в таблице Temp:
Просмотр статистики по всем таблицам:
Просмотр активных соединений:
Для тех, кто не хочет использовать окно терминала, но хочет испробовать pf, можно взять на вооружение приложение Murus. Murus Lite бесплатен для некоммерческого использования.
Демон адаптивного брандмауэра
В /etc/pf.anchors/com.apple подключится адаптивный файрвол
Демон адаптивного файрвола afctl необходим для автоматических блокировок хостов с подозрительной активностью: неправильные запросы, большое число неудачных попыток входа и тому подобное. Блокировки по умолчанию на 15 минут. Полезно использовать при публикации macOS напрямую в интернет. В локальной сети в нём нет особого смысла, только если для экспериментов.
Так как демон afctl располагается в нестандартном месте, добавим его путь для быстрого вызова в профиль
Посмотреть временный чёрный список можно двумя способами:
Через afctl, получим просто список
Или прочитать файл /var/db/af/blacklist
В файле дополнительно содержится информация о времени удаления из чёрного списка в формате Unix timestamp — количество секунд от 01.01.1970 00:00 UTC. Для преобразования Unix timestamp в понятный для человека формат:
При необходимости, хосты можно блокировать вручную и на больший срок, например, на 90 минут:
Командное управление socketfilterfw
Управлять фаерволом удобнее с графического интерфейса, но можно и с терминала. Для удобства можно аналогичным образом можно добавить путь в
/.zprofile или /etc/zprofile
Рассмотрим доступные ключи.
Включить или выключить:
Запретить или запретить все входящие соединения:
Разрешить или запретить встроенным приложениям взаимодействовать с сетью:
Разрешить или запретить подписанным приложениям взаимодействовать с сетью:
Разрешить или запретить ICMP:
Включить или отключить логирование:
Уровень детализации лога:
Добавить приложение в фаервол, по умолчанию трафик разрешается:
Заблокировать входящий трафик приложения:
Разрешить входящий трафик приложения:
Удалить приложение из фаервола:
Сосуществование socketfilterfw и pf
Разумеется, лучшей практикой является комбинирование двух решений: Packet Filter и socketfilterfw.
Все входящие соединения сперва обрабатываются pf, затем socketfilterfw.
Если требуется создать правило для организации NFS сервера, добавим правило в socketfilterfw:
Затем добавим в правило в pf и перезапустим его:
Таким образом мы не просто откроем TCP и UDP порты в системе, но и ограничим приложения, которые могут принимать соединения.
Диагностика и отладка
В решении проблем, которые могут возникнуть при работе с брандмауэрами, можно воспользоваться их логированием.
Для настройки логирования pf в файле правил /etc/pf.anchors/FilterRules добавим правила логирования, которые должны находится над разрешающими правилами.
Читаем интерфейс с помощью tcpdump:
Лог с интерфейса можно просматривать и другими средствами, например wireshark.
После завершения диагностики, можно удалить интерфейс (либо он будет удалён при последующей перезагрузке ОС):
Question: Q: How to open ports 119 and 443 in my Mac?
I’ve been trying to use the UseNeXT software with my Mac with no success. I called their support and they told me I need to open the ports 119 and 443. I contact Apple support and they told me that is beyond their scope (. ).
Can somebody help me with that? I tried to find it online, but all tutorials that i tried didn’t work or are outdated.
MacBook Air, OS X Mavericks (10.9.2)
Posted on May 4, 2014 12:39 PM
Helpful answers
If the Mac Firewall is ON then you need to set up (allow) the app in question to use those ports.
In System Preferences > Security and Privacy > Firewall use the Options Button.
This needs to be set to «Allow Signed Software» If On and the app you are using to be added to the List.
There are 65535 internet ports in total.
The first 1024 of them tend to be open by default.
The port 443 is used by many login pages to various sites such as Apple’s Login Page to post here and Bank sites.
It is also used by Messaging apps to sign in to some servers. AIM uses port 443 now. The Yahoo option in Messages also uses port 443.
Some Mail Servers also use it.
Port 119 is likely to be open in your router by default as it is below the 1024 threshold.
9:10 pm Sunday; May 4, 2014
I don’t want to suggest that you change equipment unless we are sure that is the issue. Of course, you need the Comcast modem and you need a router. I use a simple Comcast Modem without a router with my Airport Extreme. But before you make changes, I would like to see if others weigh in to this thread. I also found numerous threads on the Comcast forums about this modem router combination. I am only suggesting that it may be your issue as I can’t say for certain. You might check with Comcast support for suggestions.
There’s more to the conversation
Loading page content
Page content loaded
You have to open the ports on your router, not on your Mac. What kind of router do you have?
May 4, 2014 12:50 PM
If the Mac Firewall is ON then you need to set up (allow) the app in question to use those ports.
In System Preferences > Security and Privacy > Firewall use the Options Button.
This needs to be set to «Allow Signed Software» If On and the app you are using to be added to the List.
There are 65535 internet ports in total.
The first 1024 of them tend to be open by default.
The port 443 is used by many login pages to various sites such as Apple’s Login Page to post here and Bank sites.
It is also used by Messaging apps to sign in to some servers. AIM uses port 443 now. The Yahoo option in Messages also uses port 443.
Some Mail Servers also use it.
Port 119 is likely to be open in your router by default as it is below the 1024 threshold.
9:10 pm Sunday; May 4, 2014
Thanks for the reply, Ralph.
Based on what you said, I believe the ports are not the problem. I have a PC that runs the same software with no problems. It means that it shouldn’t be any blocked port issues, right? I only have this problem with my new Mac and the firewall is off. If the ports are not blocked (software run with windows), the firewall is off, it must be somethig else blocking the software. Any other suggestion?
I have the wireless gateway router provided by Comcast.
Based on what you guys said, I believe I may be having some different issues. The sofware runs with my old PC, but does not run with my new Mac. It means that I don’t have my ports blocked. Also, my firewall is off, so it is also not the problem. I don’t know what could be blocking this softaware to run in my mac.
I suspect it is that Comcast router. I had read so many posts on these forums about problems with the Comcast modem-router, that I insisted on a modem without a router as my current wireless router has always worked perfectly. I exchanged the modem-router model they provided for a modem without a router and it works perfectly with my Apple Extreme router. You might want to search the forums for problems with Comcast router and see if you can see any similarities to your issue.
But do you think this problem with comcast router would only happen with Mac, not Windows? Because I only have problems with my Mac
I can’t say for sure because I don’t use a PC. But I saw enough threads on these and Comcast forums about problems with the Comcast modem-router that I wouldn’t even try it. When I got the notice that my old modem was no longer supported, they sent me a new one which included the router. I didn’t even try it, just exchanged it for a model without router. Try searching these forums for Comcast router problems and see if they seem to relate to your issue. Did you recently upgrade your Comcast equipment and did you have problems with a previous router? If you recently upgraded that equipment and the problem is new, I suspect the Comcast equipment.
I’ve never had a Mac before, so I can’t tell if it is something new or not. But right now, if I test my Windows, it works. If I use my Mac, it doesn’t.
I was already thinking about buying an AirPort Time Capsule, do you think it will work? In this case, should I downgrade the Wirelles Gateway from comcast and take the one that is just the modem? Or maybe I should just buy a new modem and forget about comcast.
I don’t want to suggest that you change equipment unless we are sure that is the issue. Of course, you need the Comcast modem and you need a router. I use a simple Comcast Modem without a router with my Airport Extreme. But before you make changes, I would like to see if others weigh in to this thread. I also found numerous threads on the Comcast forums about this modem router combination. I am only suggesting that it may be your issue as I can’t say for certain. You might check with Comcast support for suggestions.
Thanks, man. I will see what I can figure out and I let you know if it worked.
Thanks for the help
I may be missing something, but bear with me 🙂
How are you using UseNext? Are you hoping that the Internet can see these ports on the Mac? Or are you just wanting the ports to work on the local network?
Does your Windows box already receive these ports from the Internet? If this is the case your router is forwarding these ports to the IP of the Windows box. There can only be one destination for this ‘incoming port’ on the local network.
I don’t think a home/office router will let you receive on one port & split the traffic to multiple machines, at least not unless you have some decent firmware on the router.
If you are not accessing the Mac from the public Internet the router port forwarding is not the issue.
I do want to make it clear, that with no exact knowledge of your software or equipment, I only offered a suggestion for a possible solution. Obviously, it would help if people who know more about networks than I do would offer some advice. I would not want you to change out your equipment without investigating the issue completely. I am no expert and merely offered a possible avenue for investigation. Do let us know if you find a solution.
I went to the site to see if it had anything but I got this warning from Web of Trust (WOT)
I did not really think it was ports as those should be open in most routers.
In the Finder > Go Menu > Go to Folder enter /etc/hosts in the dialogue box.
This should take you to Harddrive name/Private/etc/hosts.
Open the Hosts file with TextEdit.
The vanilla version of this should look like this
It can have other IP addresses and web servers listed to block the Mac from contacting them.
Adding a # to the front of the line will get it ignored.
Some apps can get put in here by the installation process.
7:58 pm Monday; May 5, 2014
May 5, 2014 11:59 AM
It probably depends on the router as to the method used to open the ports.
As I have said elsewhere in the thread the first 1024 ports are open in most router to allow things to work Out of the Box such as Mail (110, 25, 567, 569, 995, 996 and many more ) and web Browsing (port 80 mostly but secure site can use 443) FTP (21 and 22) to name some.
Port Forwarding is one way to open some of the ports for One IP (computer).
Most routers have table for doing this and this can be limited as to the number of ports included.
This Linksys pic shows how to do it for some as it allows groups based on Start and end ports. However it restricts it to one IP
DMZ is a form of Extreme Port Forwarding that opens all 65535 ports to one IP (Computer)
In both the above cases other computers (IP addresses) are excluded from using the ports.
It is limited by the table size for your particular router.
Most router come with UPnP nowadays.
It is an ON/Off setting that allows the apps on the computer to say which ports are needed and when.
On some you can reduce the time to live and the Hop amounts.
The ports stay open from a period of normally 30 mins after non use.
This can be changed.
It also tends to list the number of Hops (the number of devices beyond the UPnP device) that it can be heard.
I have no other router on my network but I do sometimes use Internet Sharing between two computers hence the 2 Hops.
Every other device is only one Hop away from the the router.
There are concerns that the «Advertisement» is seen upstream (internet side) as well as device downstream.
The Concern is that this could be Up to your ISP and then down to the «next» IP end user on the particular router/server at the ISP end.
I have seen no evidence of this being the case.
Как я могу открыть порт 80, чтобы процесс без полномочий root мог с ним связываться?
Я хочу запустить веб-сервер на моем Mac как процесс без полномочий root. Обычно только корневые процессы могут связываться с портом 80 (или любым портом ниже 1024).
Могу ли я открыть порт 80 специально, чтобы процессы без полномочий root могли прослушивать его?
Это сложно сделать по своему замыслу, и если у вас нет root-доступа к вашей машине, ни одно из следующих действий не будет работать, так как для настройки изменений требуется root. Однако после изменения программы пользовательского пространства будут иметь доступ без рута.
Есть два распространенных способа сделать это, и ваш выбор будет зависеть от того, почему вы пытаетесь обойти ограничение:
Укажите порт 80 на другой порт, например 8080
Переконфигурировав вашу машину для передачи всего трафика порта 80 на порт 8080 или любой другой порт по вашему выбору, вы можете позволить серверам пространства пользователя получать корневые привилегированные порты в той области, к которой им предоставлен доступ.
Шаг 1. Просмотр текущих правил брандмауэра.
Шаг 2: Добавьте правило переадресации портов (от 80 до 8080)
Если вы хотите удалить правила брандмауэра, запустите:
Это временное изменение, и оно вернется после перезагрузки или сброса, как указано в последней строке.
Вы можете сделать изменение постоянным или добавить команду в качестве строки запуска перед запуском сервера, что, вероятно, более безопасно с точки зрения безопасности.
Использовать Authbind
Authbind был разработан специально для того, чтобы разрешить одной программе доступ к портам более низкого уровня, не предоставляя ей полный root-доступ.
Существует порт MacOSX:
Однако он все еще может быть ограничен трафиком IPv4, поэтому вам, возможно, придется провести дополнительное расследование, чтобы выяснить, соответствует ли он вашим потребностям.
Как открыть порт 22 в OS X 10.6.7
Я пытаюсь открыть порт 22 в OSX, чтобы я мог подключиться к localhost с помощью ssh. Это моя текущая ситуация:
Я сгенерировал ключ и бросил его в свой файл authorized_keys следующим образом:
Сканирование портов «Сетевая утилита» подтверждает, что 22 (и, что удивительно, 23) закрыты.
Контекст: я работаю над локальной настройкой Hadoop. В моей конфигурации я запускаю службы на localhost: #### s, и мне нужно открыть с ними связь через ssh.
Как я могу открыть 22? или я могу столкнуться с другой проблемой (возможно, неправильно сгенерированный ключ?)
6 ответов
Я думаю, ваш порт, вероятно, открыт, но у вас нет ничего, что его слушает.
В операционной системе Apple Mac OS X по умолчанию установлен SSH, но демон SSH не включен. Это означает, что вы не можете удаленно входить в систему или делать удаленные копии, пока не включите эту функцию.
Чтобы включить его, перейдите в «Системные настройки». В разделе «Интернет и сети» есть значок «Совместное использование». Запустите это. В появившемся списке отметьте опцию «Удаленный вход». В OS X Yosemite и выше больше нет меню «Интернет и сеть»; он был перемещен в Учетные записи. В меню «Общий доступ» теперь есть собственный значок в главном меню «Системные настройки». (спасибо @AstroCB)
Это немедленно запускает демон SSH, и вы можете удаленно войти в систему, используя свое имя пользователя. В окне «Совместное использование» внизу отображаются имя и IP-адрес, которые нужно использовать. Вы также можете узнать это с помощью whoami и ifconfig в приложении Терминал.
Эти инструкции скопированы из Включить SSH в Mac OS X, но я хотел чтобы убедиться, что они не уйдут, и обеспечить быстрый доступ.
Вы также можете разрешить доступ определенным пользователям.
Я не мог решить проблему; Затем я сделал следующее, и проблема была решена: См. здесь:
В соответствии с macOS 10.14.5 ниже приведены подробные сведения:
системные настройки> общий доступ> удаленный вход.
Для них доступно 3 решения.
Пожалуйста, попробуйте подключить свой компьютер через личную сеть, например мобильную сеть, точку доступа и т. д.
Я использую OSX 10.11.6 и эта статья у меня работает.