Re: Puerto 113 varios intentos

2002-01-23 Por tema Santiago Pastorino 
El miércoles 23 de enero de 2002 a las 20:33:45 +0100, José Andrés Arias 
Velichko escribió:
> Hola Santiago, el 23 de ene de 2002, a las 03:01 -0300, Santiago Pastorino 
> decías:
> > Hace un rato estuve conectado, mi ip era 200.2.40.114 y se me ocurrio
> > mirar el log del firewall, y veo lo siguiente
> > 
> > Jan 23 14:12:45 debian kernel: TCP Dropped IN=ppp0 OUT= MAC= 
> > SRC=216.234.231.6
> > DST=200.2.40.114 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=1015 DF PROTO=TCP
> > SPT=4400 DPT=113 WINDOW=32120 RES=0x00 SYN URGP=0
> > 
> > Desde la ip 216.234.231.6 no se que quieren hacer en mi máquina puerto
> > 113, me entro curiosidad saber quien era la dirección esa y le hice un
> > nmap, vi que tenia abierto el puerto 80 (http) entonces abri el mozilla
> > y puse como dirección http://216.234.231.6 y sorpresa, aparecio la
> > página de debian.
> > Mis dudas son, ¿que hay en el puerto 113? (auth 113/tcp authentication tap 
> > ident)
> ---
> El servidor ident basicamente sirve para indicar a que usuario le
> pertenece un socket. Esto a veces es de utilidad, sobre todo en
> una red donde hay confianza.
> El caso es que algunos servidores de ftp, cuando estableces una
> conexión intentan guardar trazas además de IP, el usuario a quién
> le pertenece la conexión. Esto lo hacen conectandose a este servicio,
> si no reciben respuesta no pasa nada, simplemente no guardan el usuario.
> Te aconsejaria que en tu cortafuegos pusieses un reject en este puerto
> en vez de drop (si ya no lo tienes puesto), así ira ligeramente mas rápido
> el establecimiento de conexión con esta clase de servidores, aunque depende 
> de como este programado el servicio...
> 
> Algunos servidores IRC también tienen este "feature", y he oido de 
> algunos que no te dejaban entrar si tienes puesto el drop.
> 
> En cualquier caso es algo que depende de la política que cada uno 
> se impone.
> 
> Un saludo,
>   Andrés

Ok, gracias pero me queda la duda de por que el servidor web de debian
intento checkear no se que en ese puerto de mi máquina, si yo solamente
me conecte para bajar mis correos y en ningun momento hice nada que
estuviera relacionado con ese servidor de debian.



pgp1oouqhvOkS.pgp
Description: PGP signature

Re: Puerto 113 varios intentos

2002-01-23 Por tema José Andrés Arias Velichko 
Hola Santiago, el 23 de ene de 2002, a las 03:01 -0300, Santiago Pastorino 
decías:
> Hace un rato estuve conectado, mi ip era 200.2.40.114 y se me ocurrio
> mirar el log del firewall, y veo lo siguiente
> 
> Jan 23 14:12:45 debian kernel: TCP Dropped IN=ppp0 OUT= MAC= SRC=216.234.231.6
> DST=200.2.40.114 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=1015 DF PROTO=TCP
> SPT=4400 DPT=113 WINDOW=32120 RES=0x00 SYN URGP=0
> 
> Desde la ip 216.234.231.6 no se que quieren hacer en mi máquina puerto
> 113, me entro curiosidad saber quien era la dirección esa y le hice un
> nmap, vi que tenia abierto el puerto 80 (http) entonces abri el mozilla
> y puse como dirección http://216.234.231.6 y sorpresa, aparecio la
> página de debian.
> Mis dudas son, ¿que hay en el puerto 113? (auth 113/tcp authentication tap 
> ident)
---
El servidor ident basicamente sirve para indicar a que usuario le
pertenece un socket. Esto a veces es de utilidad, sobre todo en
una red donde hay confianza.
El caso es que algunos servidores de ftp, cuando estableces una
conexión intentan guardar trazas además de IP, el usuario a quién
le pertenece la conexión. Esto lo hacen conectandose a este servicio,
si no reciben respuesta no pasa nada, simplemente no guardan el usuario.
Te aconsejaria que en tu cortafuegos pusieses un reject en este puerto
en vez de drop (si ya no lo tienes puesto), así ira ligeramente mas rápido
el establecimiento de conexión con esta clase de servidores, aunque depende 
de como este programado el servicio...

Algunos servidores IRC también tienen este "feature", y he oido de 
algunos que no te dejaban entrar si tienes puesto el drop.

En cualquier caso es algo que depende de la política que cada uno 
se impone.

Un saludo,
Andrés

-- 
-
José Andrés Arias Velichko  Grupo de Usuarios de Linux
[EMAIL PROTECTED]Universidad Carlos III de Madrid
 http://gul.uc3m.es/~locke  http://gul.uc3m.es