Heeft uw auto pijn? Ga dan naar de onderdelenlijn
Het bedrijf waar ik met veel plezier werk - Mijn eigen vertrouwde domein
Waarschijnlijk drop je al het verkeer wat op poort 113 komt. Als je in plaats daarvan alles op die poort REJECT (-j REJECT --reject-with tcp-reset), zal het waarschijnlijk wel goed gaan.
man iptables:
man iptables:
Verder wordt ident volgens mij via inetd gestartThe option tcp-reset can be used on rules which
only match the TCP protocol: this causes a TCP RST
packet to be sent back. This is mainly useful for
blocking ident (113/tcp) probes which frequently
occur when sending mail to broken mail hosts (which
won't accept your mail otherwise).
[ Voor 79% gewijzigd door Jelmer op 15-03-2004 10:45 ]
Maar een identd server draaien zou ik niet doen. Dat verkeer rejecten in plaats van droppen is inderdaad de beste oplossing
Hij draait zelf ook geen ident, maar qpopper probeert de ident van de verbindende partij te benaderen. Of misschien probeert de tcpwrapper het wel, als je qpopper vanuit inetd draait, misschien heb je hier wat aan: http://www.mail-archive.c...pensive.org/msg04222.html
dus de tcpwrapper niet gebruiken mocht je dat nu wel doen. Een andere optie is uitgaande ident-requests rejecten met je eigen iptables als het niet mogelijk is om dat voor elke gebruiker op zijn machine te laten doen.
dus de tcpwrapper niet gebruiken mocht je dat nu wel doen. Een andere optie is uitgaande ident-requests rejecten met je eigen iptables als het niet mogelijk is om dat voor elke gebruiker op zijn machine te laten doen.
[ Voor 29% gewijzigd door blaataaps op 15-03-2004 12:31 ]
Als je qpopper vanuit xinetd draait, dan moet je even de 'log_on_failure += USERID' (en/of log_on_success) uncommenten.
ik draai hem idd vanuit inetd.conf
Kan ik die tcpd gewoon weg laten of?
Kan ik die tcpd gewoon weg laten of?
Heeft uw auto pijn? Ga dan naar de onderdelenlijn
Het bedrijf waar ik met veel plezier werk - Mijn eigen vertrouwde domein
Pagina: 1