TCP/113 AUTH/IDENT に関して

質問

DNS の逆引き設定は正しくされているのにNAT/Firewall を導入したらmail/ftp が遅くなった！
IRC/POP/SMTPに接続した場合にFirewall のlog にTCP/113(auth/IDENT)への不審なパケットが飛んでくる形跡が残る。

回答

当該mail/ftp サーバからAuth/IDENT(TCP/113)のquery が投げられていると思われます。Firewall/NAT箱でAuth/IDENT をFiltering するのではなくReject(TCP RST) してください。

解説

Sendmail やwu-ftpd などのプログラムは設定によってはTCP コネクションが張られたときに、発信元のホストにAuth/IDENT(TCP/113 RFC1413 ) というプロトコルをつかって、そのセッションを張ったのは誰か特定(identify)しようとします。以下にその図を書きます。

NAT やFirewall でTCP の113 ポートを明示的・暗示的にせよDeny(パケットをフィルタする)する設定になっていると、Auth の応答がないために、Sendmail やwu-ftpd はあらかじめ設定した秒数Retrｙを試みてから失敗したと判断します。「遅くなった」と感じるのはそのためです。

NATやFirewall でReject(TCP RST もしくはICMP Port unreach を返す) ようにしてあげればこの現象は回避できます。

設定

FreeBSD のIP Firewall(IPFW)では以下のように記述します。

/sbin/ipfw add reset tcp from any to ${my_host_ip} 113 setup

Sendmail(R8 以降)では、sendmail.cf に以下のオプションを設定すればいいらしいです(未検証)。

Orident=0

wu-ftpdでは起動時に -I オプションをつけて起動すればいいらしいです(未検証)。参考

Proftpd ではproftpd.conf で以下のように記述すればいいらしいです(未検証 & たぶんstandalone mode 時のみ)。参考

IdentLookups off

Cisco のACL では設定を記述できない(と思う)。設定方法・回避策があればご教授ください。

参考

「UNIX & インターネットセキュリティ」P679 オライリージャパン 1998 ISBN4-900900-38-9
http://www.asahi-net.or.jp/~mu6k-ski/security/ident.html

[ Masuda's techmemo | unixluser.org top page ]

2000/11/28(第1版) 2002/6/11(改版) 2003/2/7(Link先修正) 2003/2/26(Proftpdとwu-ftpdに関する記述追加) 2004/1/23(TCP#133 となっていたのをTCP/113 と修正) 2004/4/15 参考資料追加
MASUDA,Masashi