Moin Jeroen, moin Liste,
>> Jetzt meine Frage: Gibt es unter Linux ein alternatives Tool, das
>> dieses Verhalten nicht hat und für jede bzw. die gewählte Protocol
>> Family zeigt, welche Ports tatsächlich offen sind?
>
> Das gibt es leider nicht :(
>
> Die information is auch nicht im /proc/net/tcp oder tcp6 zu finden.
>
> Das problem hier ist das es durch die IPv6 treiber umgeschrieben wurdet.
>
> Da sind zwei losungen:
> - netstat IPv6-compat aware machen
> - kernel dieser port seperat im /proc/net/tcp listen lassen.
das sind leider beides nicht gerade Kleinigkeiten, die man mal eben in
der Mittagspause implementiert.
>> Mit netstat ist
>> das unter diesen Bedingungen ein massiver Blindflug, der so eigentlich
>> nicht sein darf. Und jedesmal mit einem Portscanner ein potentielles
>> IDS wecken kann ja auch keine Lösung sein...
>
> Um fur IDS losungen ein computer zu beschirmen muss man immer einer
> portscanner brauchen von aussen aus und eichtenlich von mehrere seperate
> platzen.
Ja schon, was ich gemeint habe war etwas anderes: Wenn ich mit
"netstat -a -A inet6" die offenen Ports nicht sehe, kann ich zur Not
eben einen Portscanner benutzen, um die offenen Ports anzuzeigen.
Wenn ich das mache, kann das aber ein IDS alarmieren, das die Port
Scans erkennt, deshalb ist das nur eine Notlösung, die im produktiven
Einsatz eigentlich nicht akzeptabel ist.
> Im meiner optik war es einmal einer guter sache um die IPv4 compat
> addresses zu haben aber mit heutigen software die auf mehrere porten
> binden kann ist das nicht notig mehr. Es ware gut wann man das ganz im
> kernel aus konnte setzen.
Das sehe ich etwas anders. Wenn ich die IPv4-mapped IPv6 Addresses
benutze, kann ich einen Server so bauen, dass er prinzipiell
unabhängig von der IP-Version immer funktioniert. Das funktioniert
dann prinzipiell auch über IPv6 hinaus, so dass für ein späteres IPv8
Programme möglicherweise nicht mehr angepasst werden müssen. Sicher,
ich kann mit select(2) auch auf zwei separaten Sockets hören, aber das
ist zusätzlicher Aufwand, den man sich gerne ersparen will.
Dass ein OS als Default die Mapped Addresses benutzt, ist allerdings
weder standardkonform noch besonders sinnvoll. Und auch die Automatic
Tunnels sind nach heutigem Stand eine unnötige Belastung.
Viele Grüße,
Benedikt
--
Benedikt Stockebrand, Dipl.-Inform. Freelance IT System Architect
http://www.benedikt-stockebrand.de/ always looking for a contract
Unix (all flavours), TCP/IP, IPv6, IT Security, Unix Operations Training
Performance and High Availability Tuning, Large Scale Systems Design
_______________________________________________
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
