Re: Firewall: Zugriffe auf Ports 6000 und 111?
"Heiko Mikala"
In den letzten Tagen habe ich im Protokoll (/var/log/messages) unserer Firewall (Isinglass auf SuSE Linux 5.2) mehrfach Zugriffe auf den Port 6000 bemerkt. Die Meldungen sehen immer so aus:
Jun 14 16:13:36 mail kernel: IP fw-in deny ippp0 TCP x.x.x.x:80 y.y.y.y:6000 L=44 S=0x00 I=16105 F=0x0000 T=62
Anstelle von x.x.x.x und y.y.y.y stehen natürlich im Protokoll echte IP-Adressen. Die Zugriffe gehen meist von Port 80 aus, einmal war es auch Port 110, und erfolgten von verschieden Rechnern.
Durch die Verwendung von Port 80 bzw. 110 sehen die IP-Pakete auf den ersten Blick so aus, als kaemen sie von einem Web- bzw. POP3-Server. Das kann ein Versuch sein, Firewalls auszutricksen, die genau solche Pakete noch hereinlassen. (Firewalls sollten das aber nur tun, wenn eine entsprechende Verbindung zuvor von innen heraus aufgebaut wurde.)
Wenn ich in der Portliste nachschaue, dann steht dort, daß Port 6000 zu X-Windows gehört?!?
Richtig, TCP-Port 6000 gehoert zum X-Server mit der Display-Nummer 0 (Entsprechend 6000+x fuer Display-Nummer x). Man kann dem X-Server ueber die Option `-nolisten tcp' beibringen, keine TCP-Verbindungen anzunehmen.
dreimal gab es einen Zugriff auf Port 111 (Portliste: Sun Remote Procedure Call ?!?).
Das ist der Portmapper. Falls der die Anfragen zulaesst, kann man damit herausfinden, welche RPC-Dienste (z.B. NIS, NFS, rusersd, rstatd) von Deinem Rechner angeboten werden. Der Zugriff laesst sich ueber entsprechende Eintraege in /etc/hosts.allow und /etc/hosts.deny einschraenken. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (1)
-
eilert@Informatik.Uni-Bremen.DE