लिटिल स्निच: क्या भविष्य के कनेक्शन के संकेतों को अक्षम करने के लिए पते / पोर्ट को प्रतिबंधित किया जाता है?

मैंने लिटिल स्निच का परीक्षण संस्करण डाउनलोड किया है ।

इंस्टॉल करने के बाद, जब मुझे कनेक्शन अनुरोधों के साथ संकेत दिया जाता है, तो मेरे पास "किसी भी कनेक्शन" या "केवल" एक विशिष्ट कनेक्शन के माध्यम से कनेक्शन को अनुमति देने या अस्वीकार करने का विकल्प होता है।

यदि मैं " केवल फॉरएवर " का चयन करता हूं , तो मैं यह मान रहा हूं कि नियम एप्लिकेशन को दूसरे पते / पोर्ट से कनेक्ट करने से रोक देगा।

लेकिन अगर आवेदन किसी अन्य पते / पोर्ट से कनेक्ट करना चाहता है - तो क्या मुझे उस विशिष्ट पते / पोर्ट के लिए एक नया नियम स्थापित करने के लिए प्रेरित किया जाएगा - या पहला नियम वास्तव में भविष्य के सभी लिटिल स्निच अनुरोध संकेतों को अवरुद्ध करेगा?

उपरोक्त प्रश्न के संबंध में, क्या अनुमति और इनकार के बीच व्यवहार भिन्न है ? उदाहरण के लिए:

यदि मैं केवल एक निश्चित पते और पोर्ट की अनुमति देता हूं - तो क्या यह भविष्य के सभी पते और / या पोर्ट के वेरिएंट को अक्षम कर देगा ?
यदि मैं केवल एक निश्चित पते और पोर्ट से इनकार करता हूं - तो क्या यह भविष्य के सभी पते और / या पोर्ट के वेरिएंट को अक्षम कर देगा ?

मैं मान रहा हूं कि (2) ऊपर केवल उस विशिष्ट संयोजन से इनकार करेंगे - लेकिन (1) के रूप में भत्ते को प्रतिबंधित करने के बारे में क्या?

macos network firewall

— Winterflags
स्रोत

यह बूलियन तर्क है। आपकी पसंद अनुमति या अस्वीकार है [बेशक]। आपके ऑपरेटर तब 'कौन' और 'क्या' हैं। आप 'कौन', 'क्या' या 'कौन और क्या' या 'कौन या क्या' सेट कर सकते हैं। Ref [पूर्ण ओवरकिल स्पष्टीकरण के लिए] en.wikipedia.org/wiki/Boolean_algebra

— Tetsujin

@Tetsujin मैं अभी भी काफी समझ में नहीं आ रहा हूँ अगर केवल हमेशा के लिए अनुमति देने से एलएस को रोकने से रोका जा सकता है अगर आवेदन पहुंच सकता है । मैंने आपके उत्तर को कुछ बार पढ़ा है और यह पता लगाने की कोशिश कर रहा है, जबकि एलएस बूट कैश को साफ करने के लिए पुन: इंस्टॉल कर रहा है ... यह वास्तव में बूलियन तर्क नहीं है, यह है कि क्या एलएस मुझे अपने नियमों को अपडेट करने के लिए संकेत देगा जब ऐप एक अनुरोध करता है। XYZ:80 ZYX:443

— विंटरफ्लैग्स

चूंकि यह बूलियन तर्क है, अगर मैं केवल एक विशिष्ट संयोजन की अनुमति देता हूं - यह मुझे सुझाव देता है कि आगे कोई संकेत नहीं दिया जाएगा, अगर वास्तव में एलएस उस सेटिंग के साथ अवमानना करता है। लेकिन जो मैं वास्तव में करना चाहता हूं वह प्रत्येक अद्वितीय नियम अनुरोध को संभालता है।

— विंटरफ्लैग्स

मान लें कि आपके एलएस प्रीफ़्स 'यदि कोई नियम पहले से निर्धारित नहीं है, तो पूछें' तय है, जो कि डिफ़ॉल्ट है, तो [मैं केवल छद्म कोड में ऐसा कर सकता हूं] ... अगर (my.app && xyz.com && 443) इनकार करते हैं; और पूछो; तीनों शर्तें पूरी होने पर ही इनकार करेंगे , अन्यथा यह पूछेगा। मेरा अभी भी विचार है कि आपको टॉप-डाउन शुरू करना चाहिए, बॉटम-अप नहीं। आप एक ऐसा नियम बना रहे हैं जो भविष्य में आपको पूरी तरह से भ्रमित कर देगा अन्यथा नहीं।

— टेटसुजिन

यदि आप पोस्ट की गई तस्वीर पर इनकार करते हैं, तो आगे कोई सूचना नहीं दिखाई जाएगी [और कनेक्शन को अस्वीकार कर दिया जाएगा] (static.gc.apple.com और पोर्ट 443) को जोड़ने की कोशिश कर रहा है, के लिए नहीं (static.gc) .apple.com या पोर्ट 443)।

किसी भी और सभी कनेक्शन के प्रयासों को ध्वजांकित किया जाएगा - उदाहरण के लिए पोर्ट 442 पर static.gc.apple.com के लिए एक कनेक्शन को ध्वजांकित किया जाएगा, या 443 पर notstatic.gc.apple.com के कनेक्शन को ध्वजांकित किया जाएगा।

अगली बार जब लॉन्च किया गया, तो आपका पिछला इनकार फिर से आपके ध्यान में आ जाएगा, क्योंकि आपने केवल इसे छोड़ दिया था।

नोट:
यदि आप ऊपर की लाइन में static.gc.apple.com पर क्लिक करते हैं, तो आप उस डोमेन को चौड़ा कर सकते हैं जिसे आप ब्लॉक करना चाहते हैं - हालाँकि यह कहा जाना चाहिए कि Apple डिवाइस और सेवाओं को अवरुद्ध करना [gamed एक Apple सेवा है] कनेक्ट करने से Apple वास्तव में एक अच्छा कदम नहीं है, दीर्घकालिक।
सामान्य शब्दों में, किसी भी ऐप या सेवा के लिए किसी भी या सभी कनेक्शनों को अवरुद्ध करने के लिए लिटिल स्निच का उपयोग किया जा सकता है - या तो एक सटीक उपकरण या एक स्लैशमर के रूप में!
इसका उपयोग सावधानी से किया जाना चाहिए।

— Tetsujin
स्रोत

धन्यवाद! इसके अलावा, मुझे पूछना होगा कि क्या होगा, अगर मैं केवल इसका पता लगाऊंगा - तो क्या भविष्य में उस आवेदन और / या पते के लिए भविष्य के अनुरोध को अवरुद्ध करेगा ? यहाँ मेरा लक्ष्य विस्तृत नियंत्रण रखने के लिए है, इसलिए मैं एक नहीं करना चाहती अनुमति देते हैं केवल प्रतिबंध भविष्य संकेतों को रोकने के लिए। static.gc.apple.com AND port 443

— विंटरफ्लैग्स जू

imo, यह आपके अंतिम उद्देश्य पर निर्भर करता है, विशेष रूप से Apple कनेक्टिविटी के संदर्भ में। यदि आप मानते हैं कि Apple एक इकाई के रूप में एक विश्वसनीय डोमेन है (यदि यह नहीं है, तो हम सभी परेशानी में हैं;) तो यह संभवत: 17.xxx डोमेन पर किसी भी ऐप को मुक्त शासन करने की अनुमति देने के लिए अधिक समझ में आता है, जो है पूरी तरह से Apple। लिग स्नेक b ig डोमेन पर 'कौन कौन है', यह जानने में बहुत अच्छा है, इसलिए आप बस Apple.com, iCloud.com आदि को 'कोई' की अनुमति दे सकते हैं और यह उससे वास्तविक नेटवर्क को हटा देगा। Apple भी 2.xxx डोमेन का एक हिस्सा है। [cont'd ...]

— Tetsujin

[... cont'd] एक बार जो किया जाता है, उसके बाद किसी भी फ़ायरवॉल के साथ, उस से नीचे की ओर, प्रत्येक छोटे उप-डोमेन / सेवा से ऊपर की ओर काम करने की कोशिश करने के बजाय

— Tetsujin

क्षमा करें, मुझे अधिक स्पष्ट होना चाहिए था - स्क्रीनशॉट केवल कुछ है जिसे मैंने वेब से पकड़ा है, और मेरा प्रश्न विशेष रूप से Apple सेवाओं से संबंधित नहीं है :) मेरा प्रश्न नियम तर्क और संकेतों की प्रकृति के बारे में अधिक है।

— विंटरफ्लैग्स जू

ठीक है, फिर मेरे ऊपर, टॉप-डाउन ’अभी भी लागू होता है - तय करें कि आप पहले इनकार करने के बजाय क्या अनुमति देना चाहते हैं। अलग-अलग ऐप जिन्हें आप 'फ़ॉनिंग होम' से रोकना चाहते हैं, फिर उनके लिए विशिष्ट नियम सेट करें। LS उतना ही दानेदार है जितना आप कभी चाह सकते हैं .... उदाहरण के लिए, 'all' को xyz.com से कनेक्ट करने की अनुमति दें, फिर foobar.app को अस्वीकार करें पोर्ट 21 पर ONLY xyz.com से कनेक्ट करने से। एक कॉर्पोरेट की तुलना में LS के फायदों में से एक फ़ायरवॉल यह है कि आप के लिए नियम प्राथमिकता का पता लगा सकते हैं

— Tetsujin