Benedikt Stockebrand wrote:
Wenn ich einen Service habe, der IPv6 und dazu auch IPv4 per
IPv4-mapped IPv6 Addresses unterstützt, dann zeigt unter Linux (Debian
Sarge, Kernel 2.6.8) ein
$ netstat [-a|-l]
den Service nur für IPv6 an (während FreeBSD und Solaris wie erwartet
sowohl für IPv4 als auch IPv6 den Service anzeigen).
Inwiefern (hab hier grad kein *BSD in Reichweite)?
BTW: was passiert eigentlich mit Deinen Beispiel-Linux-Applikationen,
wenn Du bindv6only auf 1 setzt.
sysctl -w net.ipv6.bindv6only=1
> Das kann in
Verbindung mit "-A inet" das unschöne Problem mit sich bringen, dass
ich einen Service gar nicht sehe, der für IPv4 zur Verfügung steht.
Man kann sich vermutlich lange darüber streiten, wie weit das ein
sicherheitsrelevantes Problem ist -- ich persönlich habe bei solchen
Sachen erhebliche Bauchschmerzen.
Ähnlichen Ärger gibt's übrigens mit den compat-Tunneln, sofern nicht per
Routing ins Nirvana geleitet.
Jetzt meine Frage: Gibt es unter Linux ein alternatives Tool, das
dieses Verhalten nicht hat und für jede bzw. die gewählte Protocol
Family zeigt, welche Ports tatsächlich offen sind? Mit netstat ist
das unter diesen Bedingungen ein massiver Blindflug, der so eigentlich
nicht sein darf. Und jedesmal mit einem Portscanner ein potentielles
IDS wecken kann ja auch keine Lösung sein...
Nein, gibt's nicht, lsof zeigt auch nur das IPv6-Listening an.
Immerhin kann iptables das unterscheiden, man muß also nicht IPv6-Regeln
mit den Compat-IPv4-Adressen erstellen...
Liegt wohl an der unterschiedlichen Socket-Implementierung für
Dual-Listening Sockets - frag mal auf der USAGI-Maillist, ob das so
gewollt ist...
Servus,
Peter
_______________________________________________
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
