next up previous contents
Next: About this document ... Up: Protokollbeschreibungen und Portlisten für Previous: Windows Fernbetreuungsprogramme   Contents

X11 Window-System

Das X11 Window-System ist ein weit verbreitetes System für graphische Oberflächen auf UNIX-Systemen. Für Firewalls ist X11 schwierig zu behandeln und sollte vermieden werden. Wenn es wirklich zum Einsatz kommen muss, sollte man es in Verbindung mit der Secure Shell (ssh) einsetzen.

Das Hauptproblem ist, dass der Verbindungsaufbau entgegengesetzt zu den üblichen Protokollen erfolgt. Der X11-Server befindet sich auf jenem Rechner, auf dem der Benutzer arbeitet (ein X-Terminal oder ein PC mit optionaler X-Server Software). Programme, die am fernen 'Applikations-Server' laufen, stellen eine Verbindung zum X11-Server her, um die Daten darzustellen und Benutzereingaben entgegenzunehmen. Hat man sich dazu entschlossen, keinerlei Verbindungen von außen ins lokale Netz zuzulassen, ist der Einsatz von X11 so nicht möglich! Durch Verwendung von ssh kann X11 getunnelt werden und man umgeht so das Problem vom eingehenden Verbindungsaufbau.

XDMCP (X Display Manager Control Protocol) ermöglicht es 'dummen' X-Terminals, Rechner zu finden, um sich dort anzumelden. X-Terminals versuchen nach dem Start, per Broadcast oder auch per Unicast einen XDMCP-Server zu finden. Unter UNIX ist XDMCP meist im Programm xdm (X Display Manager) implementiert.

Der X-Font Server stellt Zeichensätze für X-Terminals zur Verfügung, da diese oft viel Platz in Anspruch nehmen. Ein X-Server, der eine bestimmte Schrift zur Darstellung benötigt, kann diese bei einem X-Font Server anfordern. Dieser wiederum kann die Anfrage auf einen anderen Server mit beliebigem Port weiterleiten.

Wenn XDMCP benötigt wird, sollte es eingeschränkt auf einem Bastionhost laufen. Ein X-Font Server sollte immer im lokalen Netz installiert werden und nie über eine Firewall betrieben werden.

X-Server verwenden TCP-Ports von 6000 an aufwärts. Jedes Display verwendet ein Port. Da die Menge der übertragenen Daten meist sehr groß ist, wirkt sich der Einsatz von Proxies oft durch schlechte Performance aus. Am sinnvollsten wird X11 mit einem SSH-Tunnel verwendet. Für diesen Einsatz gibt es X11-Proxy-Server (z.Bsp. TIS FWTK). NAT ist im Prinzip möglich, da keine eingebetteten IP-Adressen verwendet werden. Durch die unübliche Richtung des Verbindungsaufbaues, kann es aber dazu kommen, dass kein Weg vom Anwendungsserver zum X-Server gefunden werden kann. Das NAT-System muss speziell für diesen Fall angepasst werden.

Richtung Proto- Port
Status
Anmerkung
Client50 Server51 koll Quelle Ziel
 
         
 
  < TCP 1024: 6000+n52
NEW, ESTABLISHED
Verbindungsaufbau von Anwendungsserver zum X-Server
>   TCP 6000+n 1024:
ESTABLISHED
Antwort (Benutzereingaben) von X-Server zum Anwendungsserver
>   UDP 1024: 177
NEW, ESTABLISHED
eingehende XDMCP Anforderung von einem X-Terminal
  < UDP 177 1024:
ESTABLISHED
XDMCP Antwort
>   UDP 1024: 7100
NEW, ESTABLISHED
Anfrage von X-Server > X-Fontserver
  < UDP 7100 1024:
ESTABLISHED
Antwort von X-Fontserver


next up previous contents
Next: About this document ... Up: Protokollbeschreibungen und Portlisten für Previous: Windows Fernbetreuungsprogramme   Contents
Ernst Pisch 2003-05-17