ファイヤーウォールを入れていてもMAC標準搭載のファイヤーウォールにログが残る

>同じＩＳＰを利用しているユーザーでISPの同じルーターを使用しているもの同士の場合、私の側でルーターをいれても効果ないということなのでしょうか？
違います。あなたのルータの中が一つのネットワークセグメントになります。あなたのルータの下にぶら下がっている複数のマシン同士が信頼できない場合（家庭内では普通考えられませんが）、そこからの攻撃にはルータは無関係、ということです。ISPのルータはさらにその先のルータです。
>NetBarrierの方でブロックされるのはほとんどIPアドレスの近い同じISPからのもの
当然です。現在ルータが無い状態なら、あなたのマシンを含めISPルータにぶら下がったマシンは同じセグメントにありますから、同じネットワークアドレスのマシンあるいはルータから山ほどパケットは飛んできますよ。それがマシンの中へ入ってくるのを防ぐのがルータやファイアーウォールですから。

がっちゃん 様は現在マックをどのようにお使いですか？例えば...
1：パーソナルファイル共有をしている
2：パーソナルウェブ共有をしている
3：FTPサービスをしている
っで、上記何もしていない場合でNetbarrierで「カスタマイズ」で設定するとします...
アシスタントをクリックし、画面の情報を確認して適選記入していく
サービスというページに着いたら該当のサービスを選ぶ
さらにページが表示されいくので、状況にあった設定をし、終了。
選ぶべきサービスは...
WEB(インターネットをするポート)
MAIL(メールの送受信)
NTP(マックの時計をインターネット経由で合わせてくれます)
上であげた1・2・3の項目を使う場合はさらにそのポートを増やして(使う様に)あげれば良いでしょう...
とりあえず、安食達蔵 様の言っている...
「通常、サードパーティ製firewallソフトウェアをインストールしている場合は、Mac OS X のfirewallはoffにします。」
これをきちんとした方が良いと思いますよ...
Netbarrierが正常に動作しないとは言いませんが、あっちも、こっちもになってしまいますし...
ちなみに、二つのfirewallソフトウェアを同時に使用している場合の当方の不具合の例では
FTPでの接続が「できている様で、できていない」と何だか訳が分からん状態でした...
むろん一つに絞ったところ、FTPでも正常にアクセスできますし、firewallも正常に動作しています。
最後に、私の私感で書かせて頂きますが...
firewallソフトウェアを1つに絞り、ログを見て必要なポートは閉じると言ったことが優先ではないでしょうか？
それでポートを閉じたとしても135や139や445などへの攻撃が止まることはありませんけど...
追記：結局「クライアント」という設定では
ポート(1026/1027/137など)は閉じれて無いという事ですよね...？

ログの投稿は問題ないでしょう。一応、あなたのISPのみのネットブロック（複数不正アクセスが同一ブロックの場合）は以下のように置き換えてください。
例：222.333.444.55 ------＞ XXX.XXX.444.55
　　123.456.77.888-----＞YYY.YYY.77.888　
60.21.345.678 ----＞ZZ.ZZ.345.678
もしも、割り当てられているDNSサーバから御機のhigh ports（番号が５桁）へのDoS攻撃を受けている、あるいは何度も受けたことがあるのでしたら、そのことも詳しく教えてください。
● Destination Port １０２６、１０２７、１３７へアクセスするパケットがNetBarrier firewall を通過してしまう原因を調べてください。

NetBarrier 代理店への照会、 grc.com (Shields UP), dshield.org またはseifried.orgなどのWebサイトからリモートでの調査もできますし、Network Utility を起動して、Netstat プログラムの"Display the state of all current socket connections"（最下段）を選択し、ご自身でその時の空きポートやリッスン（listen）待機状態のポート番号を調べることも出来ます。

１．NetBarrier のfirewall 設定に間違いがないかどうか。
２．NetBarrier の仕様上、上記のような特定ポートが開かれているかどうか。（firewall 製品は、TCP の接続確立プロトコルを無視したアクセスに対して、通常はブロックします。）
３．Apple firewall と NetBarrier firewall をアクティブにしているために影響を受けているかどうか。カーネルのリソースを奪い合って誤動作を招いているかもしれませんので．．．。その際に、Apple firewall を停止にして、ipfwログ取りをアクティブにして構わないかどうか事前に NetBarrierの販売代理店に確認してください。
● Port 番号 １０２６、１０２７、１３７の概要について
現在1027番はIANAで割り当てられていません。1027の前後隣接番号の悪用は最近に始まったことではありません。レジストリを改編してトロイの木馬、キーロッガー、バックドア侵入などに悪用されます。 NetBIOS の137番の関連ポートには138, 139（SMB接続でも使用）, 445番があります。 これらのポート番号はいずれもWindowsプラットフォームのマシンを標的とする、無効または不正なアクセスです。マックで使用しないポートへのアクセスばかりであれば、あなたを特定とした不正攻撃ではないといえます。アクセス件数が圧倒的に多い場合は嫌がらせ行為が無きにしも在らずです。最も多い事例は、プラットホームを特定しないボットによるリモート攻撃やゾンビ化したWindows マシンからの不正アクセスです。この問題は、エンドユーザレベルだけでは解決されません。ISP や行政機関の取り組みが急務です。不正アクセスのソースIPネットブロックを管理する組織のabuse チームに調査／防止依頼をすることもできますが、効果はほとんど期待できません。多くのISPでは膨大な投資と運用コストがかかる頑強で高度なfirewallを構築していないからです。
参考サイト；
# sans 協会のWorld Map （不正アクセス状況）
http://isc.sans.org/
# Port 137 概要
http://www.sans.org/resources/idfaq/port_137.php
# 情報処理推進機構
http://www.ipa.go.jp/security/english/virus/press/200511/TALOT200511.html
# インターネット定点観測
http://www.netpub.tsuzuki.yokohama.jp/detect/
● セキュリティのツボ
多くのエンドユーザは、firewallやanti-virusソフトウェアを導入するという”足し算”形態ですが、基本は引き算です。引き算がしっかりしていれば、Apple ipfwでも間に合います。
普段使用しないサービス（最低、アプリケーションおよびシステム設定全般）は無効にしておきます。但し、ネットワーク経由での日時自動設定はオンにします。また、admin以外にユーザーアカウントを別途一つ設け、そちらを普段常用するようにするのも一案です。光接続、ADSLそしてケーブル接続の場合は、常時WAN側に接続状態にしないことです---インターネット使用時のみ接続します。
ipfwは外部へ流れるパケットを監視・検出しませんので、特にインストールされているアプリケーションがバックグランドで外部へアクセスするような振る舞いを理解しておく必要があります。インとアウトのパケットを監視・防御・報告・通知する優れたソフトには、DoorStop Xとその姉妹アプリケーションWho's Thereがあります。いずれも作者は長年Apple 本社でネットワークのプログラム開発に従事していた方です。

クレジットカードの使用時、その決済口座の残高を限りなくゼロにしておくなどオフラインでも一定のリスクマネージメントを心がけることもよい考えです。意外と知られていないことは、ソフトウェアの不正使用やP2P ソフトウェア常用が予期せぬ不正アクセスを招く場合があるということです。使用期限がきれているのに、うっかりインストールしたままにしておくのも良くありません。
---
以上、１ページに収まりませんでした。

ありがとうございます。
まだMacを使い始めて日が浅い上にもともとPCに詳しくないので頂いたアドバイスについて理解しようと努力中です。
少しづつお伺いしますが、
ipfw: Stealth Mode connection attempt to UDP 220.108.240.***:137 from 206.172.246.***:1026
このようなログがintegoを稼働させていてもMacのFWのログに記録されます。しかもこれはintegoの方には記録されません。これは私のPCのポート137に対する攻撃なりポートスキャンと考えて良いのでしょうか？
また
ipfw: 35000 Deny UDP 221.1.206.***:57684 220.221.33.***:1026 in via ppp0
ipfw: 35000 Deny UDP 221.1.206.***:57684 220.221.33.***:1027 in via ppp0
このようなポート1026,1027を狙ったログ、これもMacのFWにだけ記録されintegoの方にはブロックされた形跡がありません。
この意味（ポートスキャンなのかそれ以外なのか）も教えて頂けないでしょうか？
integoの方に問い合わせ中ですが、最初にインストールする時にMacの方のFWは停止して下さいとは言われなかったし（同時に稼働することはあまりおすすめはしませんとのことでした）私は時々Windows使用するのですがこちらもWindowの簡易FWと市販ソフトを併用しないとブロックできないポートがあり（現在判明しているのは135と1028）両方稼働させています。そういうわけでMacの方も市販のソフトとMacの簡易FWを両方使っています。

ありがとうございます。するとルーターを入れるとやはり効果はあるということですね。うちは接続PCは１台なのでルーターをまだ導入していないので。

ありがとうございます。私の場合接続PCは１台なので誰かとファイル、その他何でも共有する必要がないので全て「共有しない」の設定にしています。（自分ではそのつもりです。共有の設定のところは停止にしているので）
　それでMacのFWの方を停止にすれば良いのだと思うのですが、Windowsを使用しているとこれがまた市販のソフトだけではブロックできないポートがあったことが判明してWindowsの簡易FWも使っています。これもとても妙な現象なのですが、仮にWindowsの簡易FWをOFFにするとポート１３５に対するネットワークウィルスが数分おき、ひどい時は数秒おきにやってきます。簡易FWをONにするとストップします。こんな感じなのでどうしてもMacを使用中も市販のソフトだけで大丈夫かな？と不安なのでついついMacのFWもONにしている次第です。結果、市販のソフトでブロックできていないものがこちらでブロックされているようなので、こちらも手放せない。
　今、integoさんにも原因を聞いているのですが「クライアント」では私の場合１０２６，１０２７，１０２８，１３７（その他もあります）等はブロックできていないってことですよね？

UPD 1026, 1027番ポートに対して221.1.206.***からアクセスを受けたけどDenyしました、という意味です。悪意あるスキャンか、ウィルスに侵されたマシンか、たまたま間違ったアクセスか、いまのInternetでは至極当たり前の事象ですから気にしないことです。
基本的にステルスモード（自Macの存在を隠しておく）によりネットスキャンや総当たりアタックからの安心度が高くなります。
ipfw は Kernel packet filter ですから、Intego NetBarrier（kernel拡張型ではなくアプリケーションレベル・ファイアウォールとすれば）よりも優先動作しているためにipfwのlogのみに記録されるのではないでしょうか。
ちなみに、Terminal.app から
　sysctl -a | grep net.inet.ip.fw.verbose
とすると 0 or 2 のステータスを返します。（ "0" はFW未稼働状態）
フロントエンドのコマンドとしては、
　sudo ipfw list
により、実際のフィルタ設定内容が確認できます。
Mac OS X のFirewall は優秀です。敢えて言わせて頂くならばアンバンドルFirewallが無くとも十分に安心です。

＞pfw: Stealth Mode connection attempt to UDP 220.108.240.***:137 from 206.172.246.***:1026
ipfw 検出結果： WorldLinx Telecommunications Inc.が登録しているIP アドレスブロックの206.172.246.*** アドレスから、Plala Networks がOCNから借り受けている（このIPアドレスでは、OCNの２次プロバイダにあたる）IPブロックの 220.108.240.*** への不正アクセスに対して、Mac OSD X 実装のipfw は無応答処理（これが Stealth Mode ）をし、ブロックした。という意味です。
220.108.240.*** はsystem.logなどに表示されるLocal IP address で、そのときに使用していたあなたのマック機側の割当IP アドレスということになります。Remote IP addressは、そのときにISPのPlala側のDHCPサーバより割り当てられたIP addressです。
それで、さらに分析します。目標ポートに、137、135、139、445などが指定された不正アクセスのパケットが再帰的（例：数十秒や数分単位）に送られてくる場合は、Plala側が任意で定義する不正アクセス防御の”しきい値”またはfirewall 設定内容によっては、それらの不正port scan、pingを防御できていないことになります。このことは、攻撃者がすでに、こうゆう不正パケット攻撃方法を行えば、ISP側のフィルタリング（或は firewall ）を通過できるということを知っていることを意味します。一方、 WorldLinx Telecommunications Inc.のsource IP address は偽装されている可能性もあるのです。
ISP側からの視点では、ポートスキャンとして理解されても、エンドユーザー側では攻撃実態はport scan flooding、ping flooding ということになるのです。一定時間ネットワークの一部が占有されるばかりでなく、あなたの大切なマックのシステムにも不要なゴミが堆積します。
あなたはマック機以外にもWindows機を使用してインターネットにアクセスしているということですから、これらの不正アクセスは軽視できないとも言えます。その理由として、攻撃の際に悪用しているポート番号がマシンへの侵入チャンスを狙っている可能性があるからです。但し、攻撃パターンなどログを含めた細かなことを精査したり、監査しなければならず、リモートで診断するには限界があります。あなたから開示されているマシン情報（各種設定を含む）はごく一部でしかありません。
すでに述べましたが、ISP 側の効果的なセキュリティ対策や行政側の法整備が急務なのです。インターネット通信に関する現行法では、ISPs に対して、これらの複雑かつ巧妙化する攻撃を含め不正アクセスを防御する義務づけがないのです。私は（安食というペンネームではありません）は、何度も総務省の担当部署（電話：5220-5685）に提言していますが、一個人の問題提起では行政側も動きようがないと述べてています。多くの方々からの口頭による嘆願が望ましいといえます。
＞ipfw: 35000 Deny UDP 221.1.206.***:57684 220.221.33.***:1026 in via ppp0
ipfw: 35000 Deny UDP 221.1.206.***:57684 220.221.33.***:1027 in via ppp0

こちらは、ipfwのruleset （ルールセット）35000が適用され、中国のCNCgroup Shandong Province Network が登録・所有しているIP addressからの不正アクセスがあなたの契約先ISPのIP address（その時あなたに割り当てられたIP Address）のポート1026 および1027へ行われたことを示しています。不正アクセス時に使用されたポートはhigh ports番号群の一つで、source マシンのOSまたはインストールしているapplicationがランダムに生成したポート番号です。 ポート1026番号の隣接ポートには、Windows のOSがマシン起動時に自動的に通信を行うものも含まれます。従って、攻撃者の戦術の一部を推測することも出来ます。 CNCgroup Shandong Province Networkは、不正アクセスに頻繁に利用されるノードの一つです。ポートスキャンにも形態があります。ISP側のシステムが単なるポートキャンと捉えても、洪水（flooding）のように押し寄せる不正アクセスはエンドユーザーにとって迷惑きわまりないのです。
integoの方には記録されていないというあなたの報告は、現状の開示情報では推測の域を超えません。よくベンダー側と意見交換する必要性があります。
いずれにしても、ISP 側のセキュリティ構築レベル次第で不正アクセスの頻度は変わるでしょう。
ご参考：
http://www.itmedia.co.jp/help/howto/security/j08/02.html#ph01
http://www.itmedia.co.jp/help/howto/security/j08/index.html

例えば、不正パケットが以下のようなシーケンスで飛んできた場合（実際に本日行われてた当方マシンノードへの攻撃）は、source IP のhost nameである "p6268e4.ykhmac00.ap.so-net.ne.jp"を割り当てられていたクライアントマシンにはmalwareが埋め込まれているか、ボットでリモートコントロールされているか、ゾンビ化しているかどちらかの可能性が強いです。この場合はso-netのabuseまたはサポートセンターへ必要情報を添えて通知します。
あなたのISPの同じネットブロックからの不正アクセスに対しても、ISPのサポート宛（kojin@plala.or.jp）に報告するとよいでしょう。
02/27/06 16:16:12 Deny 44262 TCP 219.98.104.228 In 1389 222.333.44.55
02/27/06 16:16:06 Deny 44262 TCP 219.98.104.228 In 1389 222.333.44.55
02/27/06 16:16:03 Deny 44262 TCP 219.98.104.228 In 1389 222.333.44.55
02/27/06 16:15:05 Deny 44262 TCP 219.98.104.228 In 1355 222.333.44.55
02/27/06 16:14:59 Deny 44262 TCP 219.98.104.228 In 1355 222.333.44.55
02/27/06 16:14:56 Deny 44262 TCP 219.98.104.228 In 1355 222.333.44.55
02/27/06 16:13:59 Deny 44262 TCP 219.98.104.228 In 1322 222.333.44.55
02/27/06 16:13:53 Deny 44262 TCP 219.98.104.228 In 1322 222.333.44.55
02/27/06 16:13:50 Deny 44262 TCP 219.98.104.228 In 1322 222.333.44.55
02/27/06 16:12:55 Deny 44262 TCP 219.98.104.228 In 1302 222.333.44.55
02/27/06 16:12:49 Deny 44262 TCP 219.98.104.228 In 1302 222.333.44.55
02/27/06 16:12:46 Deny 44262 TCP 219.98.104.228 In 1302 222.333.44.55
02/27/06 16:12:00 Deny 44262 TCP 219.98.104.228 In 1270 222.333.44.55
02/27/06 16:11:54 Deny 44262 TCP 219.98.104.228 In 1270 222.333.44.55
02/27/06 16:11:51 Deny 44262 TCP 219.98.104.228 In 1270 222.333.44.55
02/27/06 16:11:09 Deny 44262 TCP 219.98.104.228 In 1249 222.333.44.55
02/27/06 16:11:03 Deny 44262 TCP 219.98.104.228 In 1249 222.333.44.55
02/27/06 16:11:00 Deny 44262 TCP 219.98.104.228 In 1249 222.333.44.55
02/27/06 16:09:48 Deny 44262 TCP 219.98.104.228 In 1205 222.333.44.55
02/27/06 16:09:42 Deny 44262 TCP 219.98.104.228 In 1205 222.333.44.55
02/27/06 16:09:39 Deny 44262 TCP 219.98.104.228 In 1205 222.333.44.55
02/27/06 16:07:43 Deny 44262 TCP 219.98.104.228 In 1158 222.333.44.55
02/27/06 16:07:37 Deny 44262 TCP 219.98.104.228 In 1158 222.333.44.55
02/27/06 16:07:34 Deny 44262 TCP 219.98.104.228 In 1158 222.333.44.55

＞Macを使用中も市販のソフトだけで大丈夫かな？と不安...
僕が思うにルータを導入した方がよろしいのではないでしょうか
そうすれば、おそらくipfwにもNetBarrierにもログは残らないかと...
(NetBarrierには許可したログが残ります)
あと、安食達蔵 様が教えてくださっている内容も検討されてみては...
＞サポートセンターへ必要情報を添えて通知
私も攻撃してくるipアドレスをip検索で探しあてをispにメールをした事があります...
その時「貴社のipアドレスより下記の様なポート検索(攻撃)を受けております...」と書きました。
「下記」の部分には上記の 安食達蔵 様と同じipfwのログをメールに書いて...
isp側からは「お調べして早急に対応します...」と返信がありました(まだ同じところから攻撃されてますが...)
少しまとめます...
ポート攻撃を受けたくなくても攻撃されます...
結局 ipアドレスからispを判定してメールし、対応まちの状態になります。
安食達蔵 様もyamac 様も書いているとおりipfwログ(Deny)はブロックしたことになります。
NetBarrierで完全にポート(使用していないポート)をブロックしたいのであれば
マニュアルを熟読してください...
私も「カスタマイズ」設定には悩みましたが、一つ一つ設定していけば動きが解ります。
(ネットできないとか、メール送受信ができないとか余裕で設定できます、かなり面白いですよ)

http://www.versiontracker.com/dyn/moreinfo/macosx/12754

詳しい解説ありがとうございます。
理解できた部分とまだよく理解できない部分があるので引き続き宜しくお願いします。
integoさんから先日回答を頂きました。
1.NetbarrierはデフォルトではUDPポートはログに記録しない。また、私が設定しているクライアントモードでは通常UDPポートはブロックもしないそうです。
2.NetBarrierとMacfwと両方使用している場合、NetBarrierの方が優先されそれを通過したものがMacfwのログに記録されるそうです。（ですからクライアントモードではNetBarrierでブロックされないものがMacfwにブロックされたので正常な動作とのことでした）
そこで教えて頂きたいのですが、NetBarrierでUDPをクライアントのデフォルトではブロックしないということは、そもそもUDPはMacにとっては脅威ではないのでしょうか？でもMacfwの詳細設定のところに「UDPトラフィックをブロック」というものがあります。ということは、Macにとっても程度はわかりませんがある程度は脅威だからこの設定があるのかな思うのですが。UDPという言葉の意味は調べたのですが
それ以上はよくわかりませんでした。UDPはTCPと比べるとそんなに注意をしなくて良い存在なのでしょうか？
（ちなみに私はPCでサイト閲覧とメール送受信くらいしかしませんし、サーバーも立ち上げていませんしホームページも持っていません。この使用方法だとNetBarrierでは「クライアントモード」になり、UDPをブロックするにはカスタム設定にしないといけないそうです）
次に、１０２７はレジストリを改編しトロイの木馬、キーロッガー、バックドアの侵入に利用されるとのことですが、これらのポートに頻繁にアクセスがある場合、すでにバックドアが作成された後で再侵入をしようとされているということでしょうか？
それとも、バックドアを作成するためにここから侵入しようと狙っている（つまり、まだ侵入はされていなくてバックドアも作成されていない）ということなのでしょうか？
またポート１３７、１３８、１３９、４４５はWindowsを標的とする無効あるいは不正なアクセスとのことですが、これらのポートがMac使用時にブロックされず開放されていたとしても、Macでは侵入されない（できない）ということでしょうか？
Windows使用時には必ずブロックしないといけないけれどもMac使用時はWindows程の脅威はないと思って良いのでしょうか？
Macfwのログの一部です。
Feb 23 11:12:04 ipfw: 35000 Deny UDP 221.1.206.131:57684　220.221.33.123:1026 in via ppp0
Feb 23 11:12:04 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:07 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:07 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:09 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:09 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:11 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:11 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:12 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:12 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:20 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:20 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:23 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:23 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:25 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:25 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:29 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:29 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:32 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:32 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:35 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:35 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123

詳しい解説ありがとうございます。
理解できた部分とまだよく理解できない部分があるので引き続き宜しくお願いします。
integoさんから先日回答を頂きました。
1.NetbarrierはデフォルトではUDPポートはログに記録しない。また、私が設定しているクライアントモードでは通常UDPポートはブロックもしないそうです。
2.NetBarrierとMacfwと両方使用している場合、NetBarrierの方が優先されそれを通過したものがMacfwのログに記録されるそうです。（ですからクライアントモードではNetBarrierでブロックされないものがMacfwにブロックされたので正常な動作とのことでした）
そこで教えて頂きたいのですが、NetBarrierでUDPをクライアントのデフォルトではブロックしないということは、そもそもUDPはMacにとっては脅威ではないのでしょうか？でもMacfwの詳細設定のところに「UDPトラフィックをブロック」というものがあります。ということは、Macにとっても程度はわかりませんがある程度は脅威だからこの設定があるのかな思うのですが。UDPという言葉の意味は調べたのですが
それ以上はよくわかりませんでした。UDPはTCPと比べるとそんなに注意をしなくて良い存在なのでしょうか？
（ちなみに私はPCでサイト閲覧とメール送受信くらいしかしませんし、サーバーも立ち上げていませんしホームページも持っていません。この使用方法だとNetBarrierでは「クライアントモード」になり、UDPをブロックするにはカスタム設定にしないといけないそうです）
次に、１０２７はレジストリを改編しトロイの木馬、キーロッガー、バックドアの侵入に利用されるとのことですが、これらのポートに頻繁にアクセスがある場合、すでにバックドアが作成された後で再侵入をしようとされているということでしょうか？
それとも、バックドアを作成するためにここから侵入しようと狙っている（つまり、まだ侵入はされていなくてバックドアも作成されていない）ということなのでしょうか？
またポート１３７、１３８、１３９、４４５はWindowsを標的とする無効あるいは不正なアクセスとのことですが、これらのポートがMac使用時にブロックされず開放されていたとしても、Macでは侵入されない（できない）ということでしょうか？
Windows使用時には必ずブロックしないといけないけれどもMac使用時はWindows程の脅威はないと思って良いのでしょうか？
Macfwのログの一部です。
Feb 23 11:12:04 ipfw: 35000 Deny UDP 221.1.206.131:57684　220.221.33.123:1026 in via ppp0
Feb 23 11:12:04 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:07 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:07 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:09 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:09 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:11 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:11 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:12 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:12 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:20 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:20 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:23 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:23 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:25 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:25 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:29 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:29 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:32 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:32 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1027 in via ppp0
Feb 23 11:12:35 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123:1026 in via ppp0
Feb 23 11:12:35 ipfw: 35000 Deny UDP 221.1.206.131:57684 220.221.33.123

入り切らなくて途中でログが切れてしまいました。
これがボットによるリモート攻撃というものなのでしょうか？この攻撃は相手を特定して行うのでしょうか？それとも相手は特定せずたまたま私がその対象となっただけなのでしょうか？
いろいろお伺いしてすみませんが宜しくお願い致します。