next up previous contents
Next: rsync Up: Protokollbeschreibungen und Portlisten für Previous: RIP - Routing Information   Contents


RPC - Remote Procedure Call

Wenn irgendwie möglich, RPC-Protokolle niemals durch Firewall hindurch verwenden! Wenn überhaupt, dann über Proxy. Reine Paketfilter können solche Protokolle nicht behandeln, weil die Portnummern beliebige Werte haben können. RPC-Dienst ev. auf eigenen 'Opferhost' verlagern.

Es existieren Firewalls, die mit dem Location-Dienst (portmapper bei sun-rpc bzw. RPC-Locator bei Microsoft) kommunizieren können. Bei Microsoft-RPC können Portbereiche begrenzt werden ( HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\...).

Auch für Proxies ist RPC schwierig zu meistern, aber es gibt Proxies dafür. Z.Bsp.: TIS-FWTK

Richtung Proto- Port
Status
Anmerkung
Client Server koll Quelle Ziel
 
         
 
>   UDP 1024: 111
NEW, ESTABLISHED
Client-Anfrage an sun-rpc portmapper
  < UDP 111 1024:
ESTABLISHED
Antwort des sun-rpc portmappers
>   TCP 1024: 111
NEW, ESTABLISHED
Client-Anfrage an sun-rpc portmapper
  < TCP 111 1024:
ESTABLISHED
Antwort des sun-rpc portmappers
>   UDP 1024: 135
NEW, ESTABLISHED
Client-Anfrage an Microsoft RPC-Locationserver
  < UDP 135 1024:
ESTABLISHED
Antwort des Microsoft RPC-Locationserver
>   TCP 1024: 135
NEW, ESTABLISHED
Client-Anfrage an Microsoft RPC-Locationserver
  < TCP 135 1024:
ESTABLISHED
Antwort des Microsoft RPC-Locationserver
>   UDP 1024: any
NEW, ESTABLISHED
Client-Anfrage an RPC-Server
  < UDP any 1024:
ESTABLISHED
Antwort des RPC-Server
>   TCP 1024: any
NEW, ESTABLISHED
Client-Anfrage an RPC-Server
  < TCP any 1024:
ESTABLISHED
Antwort des RPC-Server

RPC verwendet keine eingebetteten IP-Adressen, sodass NAT prinzipiell möglich ist. Aber es werden Portnummern zurückgemeldet, weshalb NAT-Systeme welche Portnummern verändern in der Lage sein müssen, die Antworten des Location-Server zu interpretieren! Außerdem können Protokolle, die über RPC kommunizieren sehr wohl IP-Adressen im Datenfeld eingebettet haben können. NIS und NFS verwenden die Absender-IP-Adresse zur Authentifizierung! DCOM (bei Microsoft sehr viel verwendet) verwendet eingebettete IP-Adressen! Es gibt die Möglichkeit, DCOM über HTTP zu betreiben.


next up previous contents
Next: rsync Up: Protokollbeschreibungen und Portlisten für Previous: RIP - Routing Information   Contents
Ernst Pisch 2003-05-17