![](https://seccdn.libravatar.org/avatar/67247f638e6c9f12b991023e42099a6c.jpg?s=120&d=mm&r=g)
Hi, Manfred Tremmel wrote:
Hallo Leute,
ich hab mir hier jetzt eine Firewall aufgebaut und lass dabei alle abgelehnten Pakete mitloggen, dabei sind mir einige unge- wöhnliche Sachen aufgefallen, deshalb wollte ich fragen, ob jemand eine Liste der unterschiedlichen Ports und ihrer Bedeu- tung kennt.
Das mitloggen der DENY packete ist der normale weg.
Hab bisher den Firewall-Artikel in der c't 17/1999, Internet Professional 10/1999, das Firewall-Handbuch von www.little- idiot.de, manpages und howtos vergeblich nach einer Portüber- sicht gesucht, die mehr als die üblichen handvoll Nummern hergibt.
Was verstehts Du unter der ueblichen handvoll nummern ? /etc/services gibt zumindest fast alles <1024 aus und noch einige drueber.
Insbesondere iritieren mich die Schwafelein über die Ports:
113 - Kommunikation wärend des Mailabholens (Fetchmail/Sendmail/ Procmail), wenn ich den Port dichtmache, kommen die Mails aber trotzdem an... Initiiert wird die Kommunikation vom Mailserver (input mit SYN-Bit)
Das ist auth/ident, sprich der sendende mailserver versuch einen identlookup. Von intern nach draussen wuerde ich das zulassen bzw. in der sendmail.cf den timeout auf 1s stellen, sonst dauert es ewig bis die mail rausgeht.
2064 - Bei FTP-Kontakt über xmftp Passwortgeschützt auf nen 2071 FTP-Server (die ganze Liste links in genannter Reihen- 2076 folge von meinem Rechner initiert - output mit SYN-Bit) 2078 Wenn ich die Ports dichtmache, krieg ich nach dem login- 2084 noch die Begrüsungsseite und das wars. 2102 2106 2108 2111 2116 2119 2122
Das ist passiv FTP, da versucht der Client die Verbindung aufzubauen. FTP in der Firewall ist immer das Problem, wo die meisten leute drueber stuerzen. Problem ist dabei, das bei passiv FTP Kommunikation zwischen unpriviligierten Ports >1024 benoetigt wird, die vom clienten zum server aufgebaut wird. Also nicht nur port 20/21 Uebersicht ueber die Ports gibts in jeder besseren RFC sammlung.
PS: Ist es normal, Paranoid zu werden, wenn man sich ne Firewall aufzieht und die Logs so durchschaut, oder verwechsle ich da Ursache mit Wirkung?
Nein, das ist ganz normal ;-) -- MfG, M.Stahn ++ Have you seen Quasimoto? I have a hunch he's back! ++ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com