Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Ident-Queries

1 view
Skip to first unread message

Jens Hellmerichs-Friedrich

unread,
Oct 12, 1998, 3:00:00 AM10/12/98
to
Hi,

fuer diejenigen, die es interessiert, wie man die Totzeiten von bis zu 20
Sekunden
durch abgeblockte Ident-Queries des FEN unter UNIX/Linux vermeidet:

Anstatt mit "-deny" die Connection vom FEN zum eigenen Rechner auf Port 113
(ident/auth)
zu verbieten, besser "-reject" verwenden. Dazu muss auserdem der ICMP-Typ 3
"host unreachable" zum FEN geantwortet werden duerfen.

Ich habe das in meinem FCT wie folgt konfiguriert:
1) Definition eines neuen Service "unreachable":
Outgoing: ICMP = 3
2) Unter Firewall "unreachable" als Outgoing definiert
3) Firewall rules neu generiert
4) Ein neues File rules/Auth.rules angelegt:
#--------------------------------
# where is the firewall-package located ?
[ -z "$FWDIR" ] && FWDIR=`echo $0 | sed -e 's/[\/]rules[\/][A-Za-z0-9_\.-]*$//'`

# default option is 'ins'
mod=ins
[ "x$1" = xdel ] && mod=del
[ "x$1" = xins ] && mod=ins

# logfile for setup
setup_file=Auth.rules

. $FWDIR/etc/net.cfg
. $FWDIR/etc/aliases.cfg
. $FWDIR/etc/gateway.sh
. $FWDIR/etc/services.cfg

ipfw $mod reject -I 0.0.0.0/0 "fen.baynet.de/24" 1024:65535 auth tcp log
#--------------------------------

5) FCT neu getartet: /var/adm/FCT start

Ein telnet freenet-a.fen.baynet.de geht sofort in den login-prompt, waehrend man

sonst 10-20 sekunden darauf warten darf.

Ebenso sind alle pop3, smtp, ftp Anfragen entsprechend schneller.

Hoffe damit einige Einwaehlzeiten von Sicherheitsbewusten UNIX-Nutzern
um einige Minuten verkuerzt zu haben...

P.S.: Eigentlich gehoert diese Nachricht nach fen.intern ;-)

--
MfG
Jens Hellmerichs-Friedrich

http://www.fen.baynet.de/jens.hellmerichs-friedrich


bs*...@fen.baynet.de

unread,
Oct 16, 1998, 3:00:00 AM10/16/98
to
: Hi,
Hi da :)
: 4) Ein neues File rules/Auth.rules angelegt:
: 5) FCT neu getartet: /var/adm/FCT start
oeh.. es gibt auch User die _kein_ SuSE Linux verwenden... ;)
: --
: MfG
: Jens Hellmerichs-Friedrich
cu
cyber__


--

---------------------------------------------------------------------
The text on the software box said "win3.11 or better",
so i installed Unix...
---------------------------------------------------------------------

Jens Hellmerichs-Friedrich

unread,
Oct 16, 1998, 3:00:00 AM10/16/98
to
On Fre, 16 Okt 1998, bs*10...@fen.baynet.de wrote:
>: Hi,
>Hi da :)
>: 4) Ein neues File rules/Auth.rules angelegt:
>: 5) FCT neu getartet: /var/adm/FCT start
>oeh.. es gibt auch User die _kein_ SuSE Linux verwenden... ;)

FCT laeuft auf _jedem_ UNIX (Solaris, HP, Linux), hat nichts mitSuSE zutun. :

bs*...@fen.baynet.de

unread,
Oct 17, 1998, 3:00:00 AM10/17/98
to
:>oeh.. es gibt auch User die _kein_ SuSE Linux verwenden... ;)

: FCT laeuft auf _jedem_ UNIX (Solaris, HP, Linux), hat nichts mitSuSE zutun. :
ist mir schon klar. nur das Ganze sollte ja auch ohne FCT zu machen sein,
da die eigentliche (IP)Firewall ja im Kernel ist. Oder hab ich da
jetzt was missverstanden?
: MfG
: Jens Hellmerichs-Friedrich
cu Marc
(cyber__)

Jens Hellmerichs-Friedrich

unread,
Oct 18, 1998, 3:00:00 AM10/18/98
to
http://www.fen.baynet.de/jens.hellmerichs-friedrich
bs*10...@fen.baynet.de schrieb in Nachricht ...

>:>oeh.. es gibt auch User die _kein_ SuSE Linux verwenden... ;)
>: FCT laeuft auf _jedem_ UNIX (Solaris, HP, Linux), hat nichts mitSuSE zutun. :
>ist mir schon klar. nur das Ganze sollte ja auch ohne FCT zu machen sein,
>da die eigentliche (IP)Firewall ja im Kernel ist. Oder hab ich da
>jetzt was missverstanden?


Klar geht's auch ohne, wie hab ich ja am Anfang "generell" beschrieben :-)

MfG
Jens Hellmerichs-Friedrich


0 new messages