[linux-l] IRC NAT oidentd

Christoph Biedl cbiedl at gmx.de
Mo Mai 24 19:53:41 CEST 2004 

ah2003 at libertus.de wrote...

> Es soll aber angeblich der einzige sein, der ein "Fake-Masquerading
> hinter einem NAT-Router" kann.

Was auch immer das sein soll?


Das kommentiere ich mal:

> Ich melde mich z. B. als delcour am IRC-Server an über TCP Port 6668.

Die Verbindung hat auch gleichzeitig immer einen Port bei Dir offen, die
Nummer liegt irgendwo bei 1024 aufwärts, z.B. 8282. Welcher User Du bist,
weiß der IRC-Server an dieser Stelle nicht, aber er will es herausfinden:

> Der IRC-Server sendet daraufhin eine AUTH-Anfrage an
> delcour at p12345-dip-dialin.de (oder so ähnlich).

Eine ident-Abfrage "Von Dir kam gerade eine Verbindung, Quellport 8282.
Welcher Nutzer steckt dahinter?". Das ist aus der unix-Welt, in der auf
jedem Rechner auch viele Nutzer und auch gleichzeitig aktiv sein können.

> p12345-dip-dialin.de sei der meinem Rechner von t-online zugewiesene
> Name,

Ganz andere Baustelle - der reverse name zu Deiner IP-Nummer. Hat mit
Deinem Problem nichts zu tun.

> der zu meiner dynamischen IP gehört. So kommt die AUTH-Anfrage vom
> IRC-Server bei meinem Router an. Mir ist noch nicht klar, warum die auf
> Port 114 ankommt 

Der IRC-Server schickt sie an Port 113, der für derartige Anfragen
vorgesehen ist.

> bzw. ankommen kann, da der IRC-Server nicht weiß, auf welchem Port mein
> Router lauscht. Standardmäßig wäre ja Port 113.

Eben. Einzige Erklärung wäre, daß der Router Anfragen an Port 113 auf 114
umbiegt, wobei noch weitere Kriterien ins Spiel kommen müssen. Das muß ich
nicht verstehen.

> Den nutzt aber meine Freundin für ihr IRC.

Da wundere ich mich noch mehr. Zumindest im IRCNet (irc.fu-berlin.de) ist
man doch auf eine Verbindung pro IP begrenzt, und verschieden antwortende
identd sollten daran nichts ändern.
(T-Online-Nutzer dürfen mich korrigieren, wenn das nicht mehr stimmt.)

Oder ist sie in einem anderen Netz unterwegs (oftc, euirc und wie sie alle
heißen).

> Also hier muss ich noch etwas mehr erfahren. Nehmen wir an, der Router
> bekäme also die Port-14-Abfrage. Dann würde er die zu meinem
> Hauptrechner 192.168.0.7 weiterleiten. Da soll nun oidentd die Abfrage
> beantworten, etwa: "Ja, ich bestätige p12345-dip-dialin.de zu sein, und
> delcour gehört zu uns."

Die Antwort ist nur "Das war der User delcour" - und kann natürlich
gefälscht sein - der von mir schon angesprochene fakeidentd antwortet
immer "foobar" :-)

> So habe ich es etwa verstanden (ich lasse mich gern korrigieren). Ich
> werde heute abend also zunächst mal auf 113 umkonfigurieren und den User
> mit oidentd bekannt machen (-u delcour).

Es wäre erheblich einfacher, wenn der Router die ident-requests selber
beantworten würde (ein Grund von vielen, weshalb ich da lieber alte
Linux-Büchsen habe als Zigarettenschachteln; aber ja, das ist mitunter
overkill).

> Sollte das klappen, versuche ich es nochmal mit 114.

Versuche, die Routerkonfiguration zu verstehen. Irgendwo muß explizit ein
incoming ident request nach innen weitergeleitet werden.

	Christoph

Mehr Informationen über die Mailingliste linux-l