Firewall Handbuch für LINUX 2.0 und 2.2: Übersicht Filterregeln: R-Kommandos von BSD

18.4 R-Kommandos von BSD

Allgemeine R-Befehle

Die R-Kommandos sind Dienste auf Basis von TCP. Der Server benutzt die Portnummern 513 (rlogin) oder 514 (rsh, rcp, rexec, rsync, rdump, rrestore und rdist; Windows NT PDC). Etwas ungewöhnlich ist die Tatsache, daß die Clients beliebige Portnummern unter 1023 verwenden. Diese Dienste könnt man als antiquiert betrachen, da sie viele Sicherheitsgefahren beinhalten. Mit geeigneten Verschlüsselungsmechanismen (IPsec, ENSkip, SSH) ist der Betrieb jedoch gefahrlos möglich.


Regel  Richtung  Protokoll  Quellport  Zielport  Ergänzungen
1      ein       TCP        <1023      513       SYN/ACK   
2      aus       TCP        513        <1023     ---/ACK   
3      aus       TCP        <1023      513       SYN/ACK   
4      ein       TCP        513        <1023     ---/ACK   
5      ein       TCP        <1023      514       SYN/ACK  
6      aus       TCP        514        <1023     ---/ACK   
7      ein       TCP        <1023      <1023     ---/ACK   
8      aus       TCP        <1023      <1023     SYN/ACK  
9      aus       TCP        <1023      514       SYN/ACK 
10     ein       TCP        514        <1023     ---/ACK 
11     aus       TCP        <1023      <1023     ---/ACK 
12     ein       TCP        <1023      <1023     SYN/ACK

Anmerkungen zu den Regeln:

1 : Eingehendes rlogin, Client an Server. ACK gesetzt, außer im ersten Paket

2 : Eingehendes rlogin, Server an Client. ACK gesetzt

3 : Ausgehendes rlogin, Client an Server, ACK gesetzt, außer im ersten Paket

4 : Ausgehendes rlogin, Server an Client. ACK gesetzt

5 : Eingehendes rsh/rcp/rdump/rrestore/rdist, Cient an Server. ACK gesetzt, außer im ersten Paket

6 : Eingehendes rsh/rcp/rdump/rrestore/rdist, Server an Client. ACK gesetzt

7 : Eingehendes rsh, Fehlerkanal vom Client zum Server. ACK gesetzt

8 : Eingehendes rsh, Fehlerkanal vom Server zum Client. ACK gesetzt, außer im ersten Paket

9 : Ausgehendes rsh/rcp/rdump/rrestore/rdist, Client an Server. ACK gesetzt, außer im ersten Paket

10: Ausgehendes rsh/rcp/rdump/rrestore/rdist, Server an Client. ACK gesetzt

11: Ausgehendes rsh, Fehlerkanal vom Client zum Server. ACK gesetzt

12: Ausgehendes rsh, Fehlerkanal vom Server zum Client. ACK gesetzt, außer im ersten Paket

Das Problem bei allen R-Kommandos ist die Asymetrie der eingehenden und ausgehenden Verbindungen. So kann es passieren, daß auf eine ausgehende Verbindung zwei Datenströme auf privilegierten und unprivilegierten Ports von der Firewall empfangen und weitergeleitet werden müssen. Sofern die Firewall eine Programmiersprache besitzt, ist dieser Mechanismus auch ohne spezielle Proxies zu implementieren.

REXEC (Remote Start von Programmen)

REXEC ist ein Dienst auf Basis von TCP. Der Server benutzt die Portnummer 512, der Client benutzt eine beliebige Portnummer unter 1023.


Regel  Richtung  Protokoll  Quellport  Zielport  Ergänzungen
1      ein       TCP        <1023      512       SYN/ACK 
2      aus       TCP        512        <1023     ---/ACK  
3      aus       TCP        <1023      512       SYN/ACK 
4      ein       TCP        512        <1023     ---/ACK

Anmerkungen zu den Regeln:

1: Eingehendes REXEC, Client an Server. ACK gesetzt, außer im ersten Paket

2: Eingehendes REXEC, Server an Client. ACK gesetzt

3: Ausgehendes REXEC, Client an Server. ACK gesetzt, außer im ersten Paket

4: Ausgehendes REXEC, Server an Client. ACK gesetzt

Im Gegensatz zu obigen R-Kommandos ist der Dienst rexec durchaus mit einer Firewall zu sichern. Angewendet wird dieser z.B. zum Start von Programmen auf remote Servern, CORBA und DCOM machen hiervon Gebrauch.

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING