ファイヤーウォールを入れていてもMAC標準搭載のファイヤーウォールにログが残る

いろいろありがとうございます。
これは明らかに単なるポートスキャンと違うのではないか？と思った攻撃には私もISPにログを送って調べてもらっています。でもどのISPも相手の名前は教えてくれません。ISPが代理で謝罪するのみです。やっている側は自分の情報が相手に開示されないと知っていてやっているのではないかと思いたくなります。しかも故意にやっているのではないという攻撃側の主張をISPはそのまま信じているようです。では感染していたウィルスを検出してそのウィルスの種類だけでも知らせるようにいっても応じてくれません。
　安食さんのおっしゃるように個人でできる範囲で行政へ働きかける必要が大いにあるように思います。
　NetBarrierはクライアントモードではUDPはブロックされないらしいです。私もカスタマイズに挑戦しないといけないかもしれません。
　私はWindowsを使っていて猛烈な攻撃に嫌気がさして、多大な出費を覚悟でMacを購入してこれでポートスキャン、不正アクセス、侵入ともおさらば！と思っていたのですが、またルーターを買わないといけないかもしれませんね。
　ルーターを買えば今度こそ安心できるでしょうか？

ありがとうございます。
完全にブロックできている確証があれば気にしない事が一番！なのですが、完全にブプックできているのか今はまだちょっと心配です。
ステルスモードって相手から見えないんですよね。ということは、機関銃を撃ちまくっている人がいるとして、ステルスだから狙い撃ちはされないけれど、相手が、ところかまわずバリバリ撃ちまくっているとその流れ弾が当たることはあるということでしょうか？
その流れ弾にあったった記録がMacfwのログでしょうか？
そうするとステルスに対して接続を試みている人は私を特定しているのではなく、私のPCはたまたまということなのでしょうか？

同じアドレスからしつこく攻撃があるのなら、たまたま流れ弾に当たっているというふうには思わない方がいいと思います。なんらかの理由で狙われていると思う方がいいです。しつこいのはポートスキャンではありません。ポートスキャンなら、同じアドレスからは数パケットで終わります。
UDP は安全か、ですが、別に TCPだから危険とか、UDP だから安全とか、そういうことはありません。マシンの状況（どういうポートが開いているか）次第です。ポート 1026/1027 は、通常マックでは開くことはないと思いますので、どれだけ攻撃を受けてもびくともしません。自分のマシンのどのポートが開いているかは、アプリケーション／ユーティリティにあるネットワークユーティリティを利用して調べることが出来ます。ネットワークユーティリティでPortscan のタグをクリックして、127.0.0.1（自分自身）にポートスキャンをかけてみます。これで、例えば、20-2000 までスキャンしてみれば自分のマシンの開いているポートを確認できます。
ルータを入れれば、外からのアタックは一切遮断できます。

>私はWindowsを使っていて猛烈な攻撃に嫌気がさして、多大な出費を覚悟でMacを購入してこれでポートスキャン、不正アクセス、侵入ともおさらば！と思っていた
どんなシステムであろうが、攻撃そのものから逃れることはできません。問題はいかに防げるかですから。今のところは、WIndowsを対象とした攻撃が大部分ですから、Macのほうがまだ安全なのは確かです。
>ルーターを買えば今度こそ安心できるでしょうか？
攻撃対象がルータになるだけです。ただ、ルータのデフォルト設定は通常全てブロックですし、ローカルアドレスへの直接攻撃は基本的に（多分）無理ですから、あえて設定を変えない限り、内部への侵入の危険はきわめて少ないといえます。何より、PC本体を攻撃にさらしていない安心感があります。ただ、ルータを入れた場合でも、前のレスでも書いたように、外出先などでルータ内の侵入もあり得ますから、ファイアーウォールは入れておくべきと思います。

新しい種や亜種のウィルスが出てますので否定はできませんがログを見つけた後
近づきもしてないのに翌日も同じドメインからの発信があればちょっとは疑いますね。
がっちゃんさんのmacから発信元まで経由サーバーも含めて逆トレースも
できると思うのですが。
ルータを挟む前に一度symantecのFirewallに不審なログがあり逆トレースしたり
　　10.4もユーティリティにそういうソフトがあるのでは。
　　自分はsymantecのFirewallのログから直結してるトレースページで
　　やってみましたが
セキュリティを扱う会社のホームページによくある簡易IPアドレスサーチ類の
エンジンで発信元や経由サーバーのログからドメイン名など調べている内に
（そのサーバーが発信元にアクセスしている？）
アクセスがおさまったということがありました。
その時はたぶん、おおがかりなものではなかったのだろうと思います。
symantecのファイヤーウォールのログからのトレースだったし。
その後、ルータを挟みました。

がっちゃん 様...きりがないですね。
いままでの文章で、納得されていない様なので
がっちゃん 様が安心するにはパソコンからLANケーブルを抜くしか無い様な...(--;
一応、疑いが晴れる為の方法で僕の思いつくことを書きます....
アプリケーション＞ユーティリティ＞ネットワークユーティリティ
この「ネットワークユーティリティ」を起動して「Portsscan」をしてみてください...
・IPアドレスを入れる所にポートスキャンするアドレスを(自分のマックを見る時はそのマックのIPを...)
・「次のポート間をテストする」のところにそのポート番号(例えば80なら80〜80と...)
例えば、自分のIPが192.168.1.13で調べたポートが80で、そのポートが開いていれば
以下、表示された物をコピーしました------
portscan コマンドの送信を開始しました...
Port Scanning host: 192.168.1.13
Open TCP Port: 80 http
portscan コマンドの送信を完了しました...
--------と出ます、つまり「ポート80は開いてるよ！」と。
開いてなければ...
以下、表示された物をコピーしました------
portscan コマンドの送信を開始しました...
Port Scanning host: 192.168.1.13
portscan コマンドの送信を完了しました...
--------の様に表示される。
これでポートが開いてるのか、開いてないのか解るので
NetBarrierを停止してMacのFWでどのポートが開いてるかチェックし
完全に閉まっていればNetBarrierは使用しないでも良いですよね。
逆にNetBarrierだけFWし、同じ様にポートスキャンすれば
自分のマックのどのポートが開いてるか解りますし...
それで、開いてるポートが解れば、NetBarrierで該当のポート閉めてみて
再度ポートスキャンすれば、まだ開いてるのか、閉めれたのか解るのではないでしょうか？

> ・IPアドレスを入れる所にポートスキャンするアドレスを(自分のマックを見る時はそのマックのIPを...)
Ethetnetインタフェース等を経由しないパケットは（一般的に）フィルタリングを通過しないためフィルタ設定が正しく動作しているか否か確認できません。
また、ネットワークユーティリティは TCPのみの確認ですから UDPをチェックしたい時は別ツールを使う必要があります。
参考までに、全ポートスキャンは出来ませんが簡単な評価は以下のサイトが便利です。ただし、スキャン速度が早過ぎることから正確性に欠けるケースがありますことを念頭に置いてください。
　http://scan.sygatetech.com/
また、以下のサイトもお試しにどうぞ。
　https://www.grc.com/x/ne.dll?bh0bkyd2
# それにしても UDPをブロックしない（できない？）FWソフトが市販されているとは信じ難いです。

＞...フィルタ設定が正しく動作しているか否か確認できません。
そうなんですか...私のところでは出来てる様に見えてますが、勘違いですかね？
(NetBarrierで閉じたポートは何も表示されず、開いてるポートはOpen...となります)
＞UDPをブロックしない（できない？）FWソフト...
同じくNetBarrierですが「カスタマイズ」という設定では出来ると思うのですが...
設定項目に「UDP」「ICMP」「IGMP」とありますし...当然「FTP」も。

> (NetBarrierで閉じたポートは何も表示されず、開いてるポートはOpen...となります)
なるほど。やはりOS標準のカーネルレベルFWとは動きが異なるということですね。
> 同じくNetBarrierですが「カスタマイズ」という設定では出来ると思うのですが...
これについては、がっちゃん さんの
> integoさんから先日回答を頂きました。
1.NetbarrierはデフォルトではUDPポートはログに記録しない。また、私が設定しているクライアントモードでは通常UDPポートはブロックもしないそうです。
これとは違う内容ですから混乱してますが、FWの機能としては満足しているということで私なりに整理することにします。

＞これとは違う内容ですから混乱してますが...
そうでした、すいません...(__;
とにかく設定次第なんです、回し者では無いですが...
あるポートは指定IPだけ、あるポートは全部拒否とか、それだけなんです...
わりと便利です、ほんとに...とyamac様に言ってもしょうがないんですが(__

ありがとうございます。教えて頂いた通りPortscanを実行してみました。
いつも通り、NetbarrierもMacfwも両方ONにして
自分のIP１２７．０．０．１を入れてポートは１〜50000までにしました
すると
portscan コマンドの送信を開始しました...
Port Scanning host: 127.0.0.1
Open TCP Port: 1033 netinfo-local
portscan コマンドの送信を完了しました...
と、結果がなりました。
ということはNetBarrier(クライアントモード）もMacfwも両方ONにしているのにポート１０３３は開いているってことですよね？
おまけにMadbavooさんのように
Open TCP Port: 80 http
と、表示されないのはなぜでしょうか？
インターネットに接続中はポート80は開いているはずですよね？
違うのでしょうか？
それでIPアドレスにその時自分が使用しているIP　125.201.157.55　を
そのまま入れてScanすると
portscan コマンドの送信を開始しました...
の表示がずーっと表示されて２０分経過しても終わらないので停止しました。
この自分のIPアドレスを直接いれるとPortscanはできないのでしょうか？
netinfo-localについて調べてみましたが、、、
大丈夫でしょうか？
ちなみにその後すぐShields Up!を行うと
0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested
ALL PORTS tested were found to be: STEALTH.
となって１０３３は大丈夫みたいなのですが、いったい私のMacの１０３３は開いているのでしょうか、閉じているのでしょうか？

そうですよね、単なるポートスキャン（これでも私は十分悪いと思いますが）なら同じアドレスからはすぐ終わりますよね。
私は以前同じアドレスからたった数時間の間に1,000回、また別の日には300回、また別の日には100回以上アクセスを受けた時期がありました。これはどう考えても故意にやっているだろう！！と当然相手のプロバイダーへログを提出して調べてもらったら何と同一人物だったらしいです。それでも「相手が故意ではない」と言い張ったらしくてとうとう相手の名前教えてもらえませんでした。
ポートスキャン実行してみたら１０３３がopenになっていました。
どうしてNetBarrierもMacfwもONにしているのに開いているのでしょう？

＞インターネットに接続中はポート80は開いているはずですよね？
いや、開いてません。
当方が書いた結果はシステム環境設定の共有で「パーソナルWEB共有」をしているからです。
っで、Netbarrierはとりあえず置いといて...
Open TCP Port: 80 http
スキャンしたらPort80が開いてるよって事です。
インターネットをしているからPort80が開いてると言うことではないです。
つまり、外からお客さんをお迎えしますってことです。
がっちゃんさんの環境で考えると「パーソナルWEB共有(Port80)」はしていないので
Open TCP Port: 80 http とは出なくて正常です。
試しに現状のまま「パーソナルWEB共有(Port80)」開始して
ポート80だけスキャンしてみてください...
どういう結果がでるか...それでもう少し動きが掴めると思いますよ。

> Open TCP Port: 1033 netinfo-local
127.0.0.1 に対してポートスキャンしているから出てくるだけで問題ありません。実際、ip address にたいしてポートスキャンするとでない訳ですから。127.0.0.1 というのは自分自身のアドレスですから、自分自身と通信するために使われるアドレスです（tcp/ip ではよく使われます）。このアドレスでポートが開いているからといって、実際に外からアクセスできるとは限りません。
ガッちゃんさんは tcp/ipに対して十分な知識を持っておられるようには見えませんが（失礼！！）、ポートスキャンには神経質すぎるように思われます。いくら攻撃が行われても開いてないポートに対してなら何も起こりませんし、何も心配することはありません。また、それほど心配されるのなら、私も含めてどなたも何度も書かれてますが、ルータを入れることです。ルータを入れておけば外からの攻撃は完全に防げます。
それから、不正アクセスがあるからといって、たとえそれをISP に話したところで、書かれたような対応しかしてもらえません。向こうにも守秘義務がありますから、相手の名前を教えるなど、絶対にしません。警察に申告して取り上げてもらえれば、ISP は警察には資料を提供するでしょうけど（警察はそれを強制する権限を持っています）。でも、実際に被害が無い限り警察も動かないでしょうね、、、

>ポートスキャン実行してみたら１０３３がopenになっていました。
どうしてNetBarrierもMacfwもONにしているのに開いているのでしょう？
1033はnetinfoのポートでlocalhostにのみ開いているポートです。LAN側へは開いていませんので、firewallとは無関係です。
ターミナルで「netstat -na | grep LISTEN」と入力してみると、簡単に開いているポートとその対象が見えます。（TCPだけですが。）「*.xxxx」となっているのが、外へも開いているポートです。