OS X：アプリケーションファイアウォールについて

「外部からの接続をすべてブロック」オプションを選択すると、ファイル共有や画面共有などのすべての共有サービスで外部からの接続を受け付けなくなります。次のシステムサービスは引き続き、外部からの接続を受け入れ可能です。

• configd (DHCP およびほかのネットワーク構成サービスを実装するシステムサービス)
• mDNSResponder (Bonjour を実装するシステムサービス)
• racoon (IPSec を実装するシステムサービス)

共有サービスを使う場合は「外部からの接続をすべてブロック」オプションを必ずオフに (選択を解除) します。

特定のアプリケーションに外部からの接続受け入れを許可するには、「ファイアウォールオプション」を使ってそのアプリケーションを追加します。

1. システム環境設定を開きます。
2. 「セキュリティ」または「セキュリティとプライバシー」アイコンをクリックします。
3. 「ファイアウォール」タブを選択します。
4. 環境設定パネルのカギのアイコンをクリックし、管理者名とパスワードを入力します。
5. 「ファイアウォールオプション」ボタンをクリックします。
6. 「アプリケーションを追加」(+) ボタンをクリックします。
7. 外部からの接続を許可するアプリケーションを選択します。
8. 「追加」をクリックします。
9. 「OK」をクリックします。

外部からの接続を許可する必要がなくなったアプリケーションは、「アプリケーションを削除」(-) ボタンをクリックして削除できます。

正規の認証局がデジタル署名済みのアプリケーションについては、接続可否の確認をユーザに求める代わりに、接続許可済みのアプリケーションのリストに自動的に追加します。このオプションが選択されている場合、OS X に付属するアプリケーションは Apple で署名済みなので、外部からの接続を受け付けることができます。たとえば、iTunes はすでに Apple で署名済みのため、ファイアウォールを経由した外部からの接続の受け入れが自動的に許可されます。

ファイアウォールのリストにない未署名のアプリケーションを実行すると、そのアプリケーションの接続可否の確認を求めるダイアログが表示されます。「許可」を選択すると、OS X がそのアプリケーションに署名し、ファイアウォールリストに自動的に追加します。「拒否」を選択した場合、そのアプリケーションはリストに追加されますが、外部からの接続の受け入れは拒否されます。

デジタル署名済みのアプリケーションを拒否する場合は、まずそのアプリケーションをリストに追加してから、外部からの接続を受け入れないよう明示的に設定する必要があります。

一部のアプリケーションでは、コード署名を使わずに起動すると、整合性のセルフチェックが行われます。このようなアプリケーションは、ファイアウォールで認識されても署名されません。代わりに、アプリケーションを起動するたびに「許可」または「拒否」の確認を求めるダイアログが表示されます。これは、開発元によって署名済みのバージョンにアプリケーションをアップグレードすることで、回避できる場合があります。

ステルスモードを有効にすると、コンピュータがプローブ要求に応じなくなります。コンピュータは認証済みのアプリケーションへの着信リクエストには応答しますが、ICMP (ping) などの予想外のリクエストは無視します。

アプリケーションファイアウォールは、さまざまなアプリケーションで広く使われているインターネットプロトコルである TCP や UDP と連携するよう設計されています。ファイアウォールの設定は、AppleTalk 接続には影響を与えません。ファイアウォールの詳細設定でステルスモードを有効にすると、外部からの ICMP「ping」がブロックされる場合があります。初期の ipfw テクノロジーはコマンドライン (ターミナル) からアクセス可能で、ipfw で設定したルールがアプリケーションファイアウォールで上書きされることはありません。ipfw で着信パケットをブロックしている場合、アプリケーションファイアウォールで着信パケットを処理できません。