Firewall

Michael Westermann mw at microdata-pos.de
Wed Jan 20 17:51:04 CET 1999 

Florian Lohoff schrieb:
> 
> On Wed, Jan 20, 1999 at 01:34:49PM +0100, Dietmar Goldbeck wrote:
> > On Wed, Jan 20, 1999 at 01:04:12PM +0000, Michael Westermann wrote:
> > > Hallo,
> > >
> > > mal ne Frage, ich habe in unseren Firmen-Firewal mal nen Log installier
> > > welche Pakete vom ipfwadm abgewiesen werden. Dabei sind mir IP-Pakete
> > > auf TCP-Port 113 läuft ?
> > >
> > > in der /etc/services steht das als auth  113
> > >
> > > Was läuft auf diesem Port ?
> > >
> >
> > $ grep ident /etc/inetd.conf
> > ident           stream  tcp     nowait  nobody  /usr/sbin/identd        identd -i
> >
> > man identd fuer weitere Infos.
> >
> > Viele Mailserver versuchen eine Anfrage an den identd, wenn sie Mail
> > _annehmen_. Daher ist es ganz sinnvoll es auf der Firewall
> > nicht mit deny, sondern mit reject zu blocken. (und evtl nicht zu loggen)
> 
> Nicht nur mailserver. "ftp" server machen oft eine anfrage und
> einige lassen auch jemanden ohne ident service nicht hinein. Fuer
> IRC ist auch ein identd service auf fast allen IRC servern noetig.
> 
> Ident ist eine etwas umstrittene sache da ich ueber den ident server
> (gibt die uid  bzw username des port eigners) rausbekommen kann
> ob ein daemon als privileged user laeuft d.h. root. Es gibt
> daher auch "fake-identds" die egal fuer welchen port ein
> "nobody/nogroup" rausgeben.
> 
> Der gaengige identd der bei den meisten Linux distris dabei ist unterstuetzt
> weiter das feature eine ".noident" datei im homedir des jeweiligen
> users, dann gibt der identd eine fehlermeldung an den client.
> 
> Die meistens windows programme wie ws_ftp und mirc bringen daher
> einen eigenen ident service mit da soetwas bei Windows von hause
> aus nicht vorhanden ist.
> 
> Flo
> --
> Florian Lohoff          flo at rfc822.org                  
Hallo, 

ist es nun sinnvoll den identport auf den Firewall freizugeben, oder
stellt er ein Sicherheitsrisiko dar. Unser FW lässt ohnehin nur 
Mail,Proxy-Verbindungen und DNS Verbindungen zum Provider zu. 
Morgen werde ich mir mal die Passende RFC 1413 dazu durchlesen.   

Sollte man diesen Dienst intern Freigeben. 

Danke für die Schnellen Antworten. 

M. Westermann

More information about the Linux mailing list