Jak zastavit odesilani ident (udp/113) paketu ze serveru?
Michal Ludvig
michal-linux na logix.cz
Pondělí Září 9 14:49:01 CEST 2002
Peter Surda wrote:
> On Mon, Sep 09, 2002 at 02:21:02PM +0200, Petr Žalmánek wrote:
>
>>Mam DNS+mail server na RedHat6.2. Vse funguje jak ma, ale na firewallu
>>odchytavam pakety sluzby ident. Jak zastavit jejich tvorbu? I kdyz jsem
>>se snazil, tak jsem nikde nenasel jak a kde tyto pakety vznikaji a jak
>>nasledne jejich tvorbu zastavit.
Vyrabeji je treba nektere SMTP servery a zakazat se (mozna) daji v
jejich konfiguraci, nebo (urcite) na firewallu.
> Ident sa povazuje za normalnu cinnost. Ked to nepovolis, mozu narast odozvy
> niektorych sluzieb.
To zalezi na zpusobu, jak ty pakety zakazete. Pokud je budete pres
iptables DROPovat, tak odezva naroste, protoze nektere sluzby budou
cekat na timeout. Pokud je ovsem zakazete REJECTEM (nejlepe s tcp-reset
flagem), tak sluzba hned pozna, ze se odpovedi nedocka a na nic cekat
nebude.
Protoze v soucasne dobe uz sluzba ident nema IMHO zadny prakticky
vyznam, je nejlepsi na firewallu REJECTovat prichozi i odchozi pakety s
TCP portem 113.
> Avsak UDP ident som v zivote nevidel, si si isty ze to nie
> je TCP?
Nikde nevidim napsano, ze by tazatel mluvil o UDP...
Michal Ludvig
Další informace o konferenci Linux