GUI schrieb:
Von Programmen oft benötigte Anfragen werden weiterhin beantwortet.
Offenbar gehört "ident" nach Ansicht von AVM dazu ... wobei das eigentlich die "normale" Reaktion des Linux-IP-Stacks ist, soweit ich weiß - AVM müßte dazu wohl beim "stealth mode" zusätzlich RST-Pakete auszufiltern, solange keine passende Verbindung existiert und das passiert für "ident" offenbar nicht.
Auch versuchen heutzutage nur noch wenige Anwendungen überhaupt darüber die Existenz eines Hosts (oder gar wirklich seine Identität) zu ermitteln, weil eben fast überall dieser Port/Service geblockt wird - so ganz als "schwarzes Loch" (ohne jeglichen Beleg für die Anwesenheit eines Gerätes unter der getesteten IP-Adresse) verhält sich eine FRITZ!Box in "normaler Konfiguration" ohnehin nicht und ein "fingerprinting" ist i.d.R. schon über andere Services möglich, wenn man die Box nicht wirklich nur als "dummen Router" benutzt und einige Dienste auf der Box selbst terminiert sind. Auch ist dieser Port m.W. der einzige, auf dem das RST-Paket tatsächlich gesendet wird, wenn man in den "stealth mode" schaltet - zumindest unterhalb von 1024.
Ob das nun als "Reminiszenz" an vergangene Zeiten zu werten ist und vielleicht direkt im IP-Stack von AVM immer die Weiterleitung auf den lokalen IP-Stack erfolgt, solange es kein anderes Ziel dafür gibt, weiß ich auch nicht ... aber da kommt eben ein RST-Paket zurück (aber auch kein ICMP-Paket mit zusätzlichen Informationen), wenn man ein SYN-Paket an diesen Port sendet.
Andererseits kann das auch nicht "ganz unten" bereits als Reaktion erfolgen, denn man kann auch diesen Port durchaus auf einen Client im LAN weiterleiten lassen - das kann also nicht schon davor entschieden werden.
Wobei so eine Firewall (wie die von AVM) normalerweise mit einem ICMP-Reply reagieren würde (konkret antwortet sie hier mit "unreachable - admin prohibited filter"), wenn ein SYN für einen nicht weitergeleiteten Port eintrifft (man kann das selbst ausprobieren, was die Box da antwortet, wenn sie nicht im Stealth-Modus ist) ... wenn AVM nur diese Antworten zusätzlich ausfiltert im Stealth-Mode und für 113 aus irgendeinem Grund kein solches ICMP-Paket erzeugt wird (s. die Annahme mit der impliziten Weiterleitung auf den lokalen IP-Stack), dann liegt die eigentliche Ursache wieder in der AVM-Firewall - vielleicht gibt es dort ja tatsächlich die vermutete (ältere) Sonderbehandlung für "ident", so wie es sie für NetBIOS und ein paar andere (u.a. Teredo) wohl auch gibt (wenn auch an anderen Stellen).