Введение / Зачем это нужно
Встроенный брандмауэр macOS (Application Firewall) — это ключевой компонент защиты, который фильтрует входящие сетевые подключения. Он не даёт посторонним программам или злоумышленникам из интернета установить неавторизованное соединение с вашим компьютером. В этом гайде вы научитесь быстро включить и грамотно настроить брандмауэр, чтобы защитить свой Mac, не нарушая работу легитимных сетевых приложений.
Требования / Подготовка
Перед началом убедитесь, что:
- У вас есть права администратора (потребуется пароль для внесения изменений).
- macOS актуальна (инструкция верна для macOS 11 Big Sur и новее).
- Вы понимаете, какие приложения должны принимать входящие подключения (например, серверы для совместной работы, игровые клиенты).
Пошаговая инструкция
Способ 1: Настройка через графический интерфейс (System Preferences)
Этот способ подходит для большинства пользователей.
Шаг 1: Откройте настройки безопасности
В меню Apple () выберите System Preferences (Системные настройки) → Security & Privacy (Безопасность и защита). В верхней части окна нажмите на вкладку Firewall (Брандмауэр).
Шаг 2: Разблокируйте панель управления
Для изменения настроек брандмауэра требуется аутентификация. Нажмите на значок замка в левом нижнем углу окна. Введите пароль администратора. Значок замка изменится на открытый.
Шаг 3: Включите брандмауэр
Нажмите кнопку Turn On Firewall (Включить брандмауэр). Индикатор состояния сменится на зелёный, и брандмауэр начнёт работать немедленно. macOS автоматически разрешит входящие подключения для подписанных Apple-приложений (например, Safari, Mail, Music).
Шаг 4: Настройте дополнительные параметры (рекомендуется)
Для более точного контроля нажмите кнопку Firewall Options... (Параметры брандмауэра). Откроется новое окно.
- Блокировать все входящие подключения: Если вы включите этот режим, брандмауэр запретит все входящие соединения, даже для легитимных сервисов (например, общего доступа к экрану или файлам). Используйте его только в крайних случаях или на публичных сетях.
- Автоматически разрешать входящие подключения для подписанного ПО: Эта опция включена по умолчанию. Она безопасна, так как доверяет приложениям, подписанным разработчиками Apple.
- Список приложений: В таблице ниже вы можете вручную добавить или удалить приложения, для которых нужно явно разрешить или запретить входящие подключения. Нажмите + или -, чтобы управлять списком. Например, добавьте здесь игровой клиент или сервер для разработки, если он не появился автоматически.
После настройки нажмите OK, затем закройте окно System Preferences. Все изменения применяются мгновенно.
Способ 2: Управление через Terminal (для продвинутых)
Терминал позволяет автоматизировать управление брандмауэром, например, через скрипты или удалённый доступ (SSH).
Шаг 1: Проверьте текущий статус
Откройте Terminal (Терминал) и выполните команду:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate
Введите пароль администратора. Если ответ 1 — брандмауэр включён, 0 — выключен.
Шаг 2: Включите или выключите брандмауэр
- Включить:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on - Выключить:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate off
Шаг 3: Добавьте приложение в список разрешённых
Чтобы явно разрешить приложению принимать входящие подключения, укажите путь к его исполняемому файлу. Например, для приложения в папке /Applications:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /Applications/MyApp.app/Contents/MacOS/MyApp
Затем разрешите его:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --unblockapp /Applications/MyApp.app/Contents/MacOS/MyApp
Примечание: Путь к исполняемому файлу можно найти, кликнув правой кнопкой по приложению в Finder → 'Показать содержимое пакета' → Contents/MacOS/.
Шаг 4: Просмотрите список всех настроенных приложений
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --listapps
Команда покажет все приложения, для которых заданы правила (разрешены или заблокированы).
Проверка результата
После настройки убедитесь, что брандмауэр активен:
- Через интерфейс: В System Preferences → Security & Privacy → Firewall статус должен быть зелёным и отображать "Включён".
- Через терминал: Выполните
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate. Ответ1подтверждает, что брандмауэр работает. - Практическая проверка: Попробуйте подключиться к вашему Mac извне (например, по SSH или через общий доступ к экрану), если такие сервисы включены. Подключение должно быть запрещено, если правило для этого приложения не добавлено в список разрешённых.
Возможные проблемы
- Кнопка 'Turn On Firewall' неактивна (серая). Убедитесь, что вы разблокировали настройки, нажав на значок замка и введя пароль администратора. Также проверьте, не активирована ли опция 'Block all incoming connections' в параметрах брандмауэра — её иногда включают политики MDM (управление устройствами) на рабочих компьютерах.
- Приложение не может принимать подключения, хотя брандмауэр включён. Проверьте, добавлено ли приложение в список разрешённых в 'Firewall Options...' или через терминал (
--listapps). Если нет, добавьте его вручную, указав путь к исполняемому файлу. - Ошибка 'Operation not permitted' в терминале. Выполняете ли вы команды с
sudo? У вас есть права администратора? Также начиная с macOS Catalina, некоторые системные процессы защищены SIP (System Integrity Protection), и их правила нельзя изменить. - Брандмауэр не блокирует подключения. Убедитесь, что вы не находитесь в режиме 'Block all incoming connections', если ожидаете работы сетевых сервисов. Проверьте, не отключён ли брандмауэр вручную через терминал или системные настройки.