Firewall

[Florian Lohoff]

On Wed, Jan 20, 1999 at 01:34:49PM +0100, Dietmar Goldbeck wrote:
> On Wed, Jan 20, 1999 at 01:04:12PM +0000, Michael Westermann wrote:
> > Hallo,
> > 
> > mal ne Frage, ich habe in unseren Firmen-Firewal mal nen Log installier
> > welche Pakete vom ipfwadm abgewiesen werden. Dabei sind mir IP-Pakete 
> > auf TCP-Port 113 läuft ?
> > 
> > in der /etc/services steht das als auth  113 
> > 
> > Was läuft auf diesem Port ? 
> > 
> 
> $ grep ident /etc/inetd.conf
> ident           stream  tcp     nowait  nobody  /usr/sbin/identd        identd -i         
> 
> man identd fuer weitere Infos.
> 
> Viele Mailserver versuchen eine Anfrage an den identd, wenn sie Mail 
> _annehmen_. Daher ist es ganz sinnvoll es auf der Firewall
> nicht mit deny, sondern mit reject zu blocken. (und evtl nicht zu loggen)

Nicht nur mailserver. "ftp" server machen oft eine anfrage und
einige lassen auch jemanden ohne ident service nicht hinein. Fuer
IRC ist auch ein identd service auf fast allen IRC servern noetig.

Ident ist eine etwas umstrittene sache da ich ueber den ident server
(gibt die uid  bzw username des port eigners) rausbekommen kann
ob ein daemon als privileged user laeuft d.h. root. Es gibt
daher auch "fake-identds" die egal fuer welchen port ein
"nobody/nogroup" rausgeben.

Der gaengige identd der bei den meisten Linux distris dabei ist unterstuetzt
weiter das feature eine ".noident" datei im homedir des jeweiligen 
users, dann gibt der identd eine fehlermeldung an den client.

Die meistens windows programme wie ws_ftp und mirc bringen daher
einen eigenen ident service mit da soetwas bei Windows von hause
aus nicht vorhanden ist.

Flo
-- 
Florian Lohoff		flo at rfc822.org		      	+49-5241-470566
Good, Fast, Cheap: Pick any two (you can't have all three).  (RFC 1925)