Re: Frage zu apf-Firewal

Hallo Andreas,

* Andreas Beck <becka-news-nospam-2005-11@xxxxxxxxxxxxxxxxxxxxxx> tippte:
>
> Das glaube ich nicht. In aller Regel sind bei Paketen, die man selbst
> inbound wegwirft erstmal die_Zielports_ interessant. Wenn es etwas ist,
> das einen well-known-port belegt, ist der ja eben grad im Zielport
> verzeichnet. Quellport ist idR irgendwas zufälliges.

Verstanden.


>> Nov 16 10:31:52 rhein kernel: ** OUT_TCP DROP ** IN= OUT=eth0
>> SRC=XXX.XXX.XXX.XXX DST=212.18.18.158 LEN=44 TOS=0x00 PREC=0x00 TTL=64
>> ID=58446 DF PROTO=TCP SPT=50223 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
>> Das sieht für mich so aus, als das der Rechner XXX. ein Packet über
>> seinen Port 50223 nach Rechner 212.... Port 113 senden will. Jedoch wird
>> das Paket verworfen.
>
> Ja. XXX will einen ident-lookup machen.

Wofür ist ident gut oder sinnvoll?
Die Kiste steht in einem RZ und spielt Web- und Mailserver.


>> Wenn ich das SYN-Flag richtig verstanden habe, wird es nur beim 1. Paket
>> verwendet. Das würde heißen das Software auf dem Rechner XXX die
>> Verbindung initiert und es keine Antwort auf eine Anfrage ist.
>
> Ja. Es ist ein ident-request.
>
>> Wenn dem so ist, Welche Programme sind für Port 113 die üblichen
>> Verdächtigen unter Linux (fedora).
>
> Ein Dienst, der entsprechend konfiguriert ist, bzw. der inetd, der
> diesen Dienst dann ggf startet und selbst so konfiguriert ist.


hmm, ident habe ich in der xinet.d als off drinstehen.



> Warum wirfst Du das weg?

Nicht absichtlich, wie ich schon im 1. Posting schrieb die apf-Firewall
habe ich installiert und per default sind da alle Ports zu. Ich habe
dann nach inbound nur die benötigten Ports geöffnet. Bei Outbound habe
ich keine Veränderungen gemacht. Nur halt die täglich Mail mit den
gedroppten Anfragen ließ mich aufhorchen und ich will der Sache jetzt
auf den Grund gehen.


> Insbesondere, wenn Du DROPst, ist das Selbstsabotage.

Bei Outbound anscheinend.
Durch Deine Infos bin ich wieder ein Stück weiter.

Danke.

Gruß

Ralf


.

Relevant Pages

  • Re: Linux mmap(90)/FBIOWAITRETRACE
    ... >>um den Rasterstahl abzufragen, denn es flimmert mir zu arg. ... Oh, hier darf man ja doch auf Ports zugreifen, ... Prev by Date: ... Next by Date: ...
    (de.comp.lang.assembler.x86)
  • Re: Mit Windows98 sicher im Internet?
    ... > Selbstverständlich habe ich alle siecherheitsrelevanten Windows-Updates ... Wenn keine Listening Ports mehr auf sind, ... Prev by Date: ... Next by Date: ...
    (de.comp.security.misc)
  • Re: [FreeBSD] Darf ich bei RELENG_5 bleiben?
    ... Für Server taugt's noch, für Desktops nicht mehr so, weil die ... >> diese Problem mit diesen Ports? ... Prev by Date: ... Next by Date: ...
    (de.comp.os.unix.bsd)
  • Re: FreeBSD: Kompilierfehler bei kdebase-3.4.2
    ... Wenn ich CVSUP anschubse, gehts aber durch alle ports (na gut, ... Prev by Date: ... Next by Date: ...
    (de.comp.os.unix.bsd)
  • Re: I am sick of windows firewall
    ... I use the AnalogX IPsec rules to supplement BlackIce ... need IPsec to stop outbound that BlackIce cannot do by ... attempts on the Windows networking ports even though BI ... supplemental packet filtering solution. ...
    (comp.security.firewalls)