home *** CD-ROM | disk | FTP | other *** search
/ IRIX Base Documentation 2002 November / SGI IRIX Base Documentation 2002 November.iso / usr / share / catman / u_man / cat1 / X11 / xfwp.z / xfwp
Encoding:
Text File  |  2002-10-03  |  26.3 KB  |  595 lines
  1.  
  2.  
  3.  
  4.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  5.  
  6.  
  7.  
  8.      NNNNAAAAMMMMEEEE
  9.           xfwp - X firewall proxy
  10.  
  11.      SSSSYYYYNNNNOOOOPPPPSSSSIIIISSSS
  12.           xxxxffffwwwwpppp [option ...]
  13.  
  14.      CCCCOOOOMMMMMMMMAAAANNNNDDDD LLLLIIIINNNNEEEE OOOOPPPPTTTTIIIIOOOONNNNSSSS
  15.           The command line options that can be specified are:
  16.  
  17.           ----ccccddddtttt _n_u_m__s_e_c_s
  18.                   Used to override the default time-to-close (604800
  19.                   seconds) for xfwp client data connections on which
  20.                   there is no activity (connections over which X
  21.                   protocol is already being relayed by xfwp)
  22.  
  23.           ----cccclllltttt _n_u_m__s_e_c_s
  24.                   Used to override the default time-to-close (86400
  25.                   seconds) for xfwp client listen ports (ports on xfwp
  26.                   to which X clients first connect when trying to
  27.                   reach an X server)
  28.  
  29.           ----ppppddddtttt _n_u_m__s_e_c_s
  30.                   Used to override the default time-to-close (3600
  31.                   seconds) for Proxy Manager connections on which
  32.                   there is no activity
  33.  
  34.           ----ccccoooonnnnffffiiiigggg _f_i_l_e__n_a_m_e
  35.                   Used to specify the configuration the name of the
  36.                   configuration file
  37.  
  38.           ----ppppmmmmppppoooorrrrtttt _p_o_r_t__n_u_m_b_e_r
  39.                   Used to override the default port address (4444) for
  40.                   proxy manager connections
  41.  
  42.           ----vvvveeeerrrriiiiffffyyyy Used to display the configuration file rule that was
  43.                   actually matched for each service request
  44.  
  45.           ----llllooooggggffffiiiilllleeee _f_i_l_e__n_a_m_e
  46.                   Used to specify the name of a file where audit
  47.                   information should be logged.  The format of a
  48.                   logged entry is: time of day; event code; source IP
  49.                   address; destination IP address; and configuration
  50.                   rule number.  The event codes are: "0" for a
  51.                   successful connection; "1" if a connection is denied
  52.                   because of a configuration rule; and "2" if a
  53.                   connection is denied because of an authorization
  54.                   failure.  If the event code is "1", and a
  55.                   configuration file is used, the configuration rule
  56.                   number is the line number of the configuration file
  57.                   where the match was made (see the section
  58.                   CONFIGURATION FILE for more information).  If the
  59.                   event code is not "1", or if no configuration file
  60.  
  61.  
  62.  
  63.      Page 1                                          (printed 10/3/02)
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  71.  
  72.  
  73.  
  74.                   is used, the configuration rule number is "-1".
  75.  
  76.           ----lllloooogggglllleeeevvvveeeellll {_0,_1}
  77.                   Used to specify the amount of audit detail that
  78.                   should be logged.  If "1", all connections are
  79.                   logged.  If "0", only unsuccessful connections are
  80.                   logged.
  81.  
  82.           ----mmmmaaaaxxxx____ppppmmmm____ccccoooonnnnnnnnssss _n_u_m__c_o_n_n_e_c_t_i_o_n_s
  83.                   Used to specify the maximum number of Proxy Manager
  84.                   connections.  The default is 10.
  85.  
  86.           ----mmmmaaaaxxxx____sssseeeerrrrvvvveeeerrrr____ccccoooonnnnnnnnssss _n_u_m__c_o_n_n_e_c_t_i_o_n_s
  87.                   Used to specify the maximum number of X server
  88.                   connections.  The default is 100.
  89.  
  90.      DDDDEEEESSSSCCCCRRRRIIIIPPPPTTTTIIIIOOOONNNN
  91.           The X firewall proxy (xfwp) is an application layer gateway
  92.           proxy that may be run on a network firewall host to forward
  93.           X traffic across the firewall.  Used in conjunction with the
  94.           X server Security extension and authorization checking, xfwp
  95.           constitutes a safe, simple, and reliable mechanism both to
  96.           hide the addresses of X servers located on the Intranet and
  97.           to enforce a server connection policy.  Xfwp cannot protect
  98.           against mischief originating on the Intranet; however, when
  99.           properly configured it can guarantee that only trusted
  100.           clients originating on authorized external Internet hosts
  101.           will be allowed inbound access to local X servers.
  102.  
  103.           To use xfwp there must be an X proxy manager running in the
  104.           local environment which has been configured at start-up to
  105.           know the location of the xfwp. [NOTE:  There may be more
  106.           than one xfwp running in a local environment; see notes
  107.           below on load balancing for further discussion.]  Using the
  108.           xfindproxy utility (which relays its requests through the
  109.           proxy manager) a user asks xfwp to allocate a client listen
  110.           port for a particular X server, which is internally
  111.           associated with all future connection requests for that
  112.           server.  This client listen port address is returned by the
  113.           proxy manager through xfindproxy.  The xfwp hostname and
  114.           port number is then passed out-of-band (i.e., via a Web
  115.           browser) to some remote X client, which will subsequently
  116.           connect to xfwp instead of to the target X server.
  117.  
  118.           When an X client connection request appears on one of xfwp's
  119.           listen ports, xfwp connects to the X server associated with
  120.           this listen port and performs authorization checks against
  121.           the server as well as against its own configurable access
  122.           control list for requesting clients.  If these checks fail,
  123.           or if the requested server does not support the X Security
  124.           Extension, the client connection is refused.  Otherwise, the
  125.           connection is accepted and all ensuing data between client
  126.  
  127.  
  128.  
  129.      Page 2                                          (printed 10/3/02)
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  137.  
  138.  
  139.  
  140.           and server is relayed by xfwp until the client terminates
  141.           the connection or, in the case of an inactive client, until
  142.           a configured timeout period is exceeded.  Xfwp is designed
  143.           to block while waiting for activity on its connections,
  144.           thereby minimizing demand for system cycles.
  145.  
  146.           If xfwp is run without a configuration file and thus no
  147.           sitepolicy is defined, if xfwp is using an X server where
  148.           xhost + has been run to turn off host-based authorization
  149.           checks, when a client tries to connect to this X server via
  150.           xfwp, the X server will deny the connection.  If xfwp does
  151.           not define a sitepolicy, host-based authorization must be
  152.           turned on for clients to connect to an X server via the
  153.           xfwp.
  154.  
  155.      IIIINNNNTTTTEEEERRRROOOOPPPPEEEERRRRAAAATTTTIIIIOOOONNNN WWWWIIIITTTTHHHH IIIIPPPP PPPPAAAACCCCKKKKEEEETTTT----FFFFIIIILLLLTTTTEEEERRRRIIIINNNNGGGG RRRROOOOUUUUTTTTEEEERRRRSSSS
  156.           The whole purpose of the xfwp is to provide reliable control
  157.           over access to Intranet X servers by clients originating
  158.           outside the firewall.  At the present time, such access
  159.           control is typically achieved by firewall configurations
  160.           incorporating IP packet-filtering routers.  Frequently, the
  161.           rules for such filters deny access to X server ports (range
  162.           6000 - 6xxx) for all Intranet host machines.
  163.  
  164.           In order for xfwp to do its job, restrictions on access for
  165.           ports 6001 - 6xxx must be removed from the rule-base of the
  166.           IP packet-filtering router.  [NOTE:  xfwp only assigns ports
  167.           in the range beginning with 6001; access to port 6000 on all
  168.           Intranet hosts may continue to be denied.]  This does not
  169.           mean the Intranet firewall will be opened for indiscriminate
  170.           entry by X clients.  Instead, xfwp supports a fully
  171.           configurable rule-based access control system, similar to
  172.           that of the IP packet-filter router itself. Xfwp in effect
  173.           adds another level of packet-filtering control which is
  174.           fully configurable and applies specifically to X traffic.
  175.           See section entitled CONFIGURATION FILE, below, for further
  176.           details.
  177.  
  178.      IIIINNNNSSSSTTTTAAAALLLLLLLLAAAATTTTIIIIOOOONNNN,,,, SSSSEEEETTTTUUUUPPPP AAAANNNNDDDD TTTTRRRROOOOUUUUBBBBLLLLEEEESSSSHHHHOOOOOOOOTTTTIIIINNNNGGGG
  179.           Xfwp is typically run as a background process on the
  180.           Intranet firewall host.  It can be launched using any of the
  181.           command-line options described above.  As noted above, xfwp
  182.           works only in conjunction with proxy manager and the
  183.           xfindproxy utility.  It can also be configured to support a
  184.           user-defined X server site security policy, in which the X
  185.           server is required to indicate to xfwp whether or not it
  186.           supports the particular policy.  Consult the X server man
  187.           pages for further information on these components.  Xfwp
  188.           diagnostics can be turned on by compiling with the -DDEBUG
  189.           switch. Connection status can be recorded by using the
  190.           -logfile and -loglevel command line options.
  191.  
  192.  
  193.  
  194.  
  195.      Page 3                                          (printed 10/3/02)
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  203.  
  204.  
  205.  
  206.           On Silicon Graphics systems, xfwp is not installed by
  207.           default.  The subsystem xxxx____eeeeooooeeee....sssswwww....xxxxffffwwwwpppp must be installed.
  208.  
  209.           When this subsystem is installed, scripts are also installed
  210.           that allow xfwp to be run as a daemon that begins executing
  211.           at system startup and is stopped at system shutdown.  To
  212.           configure xfwp to run in this fashion, execute the command:
  213.  
  214.                chkconfig xfwp on
  215.  
  216.           To stop the xfwp daemon on a running system, execute the
  217.           command:
  218.  
  219.                /etc/init.d/xfwp stop
  220.  
  221.           To start the xfwp daemon on a running system, execute the
  222.           command:
  223.  
  224.                /etc/init.d/xfwp start
  225.  
  226.           The file ////uuuussssrrrr////lllliiiibbbb////XXXX11111111////xxxxffffwwwwpppp////ooooppppttttiiiioooonnnnssss can be used to provide
  227.           any of the command line options described above to the xfwp
  228.           daemon.  For instance, it is recommended that a
  229.           configuration file (see below) be created to restrict access
  230.           to approved hosts.  It is important to note that by default
  231.           the xfwp daemon is run without any options, which means that
  232.           ALL HOSTS ARE ALLOWED ACCESS.
  233.  
  234.      PPPPEEEERRRRFFFFOOOORRRRMMMMAAAANNNNCCCCEEEE,,,, LLLLOOOOAAAADDDD BBBBAAAALLLLAAAANNNNCCCCIIIINNNNGGGG AAAANNNNDDDD RRRREEEESSSSOOOOUUUURRRRCCCCEEEE MMMMAAAANNNNAAAAGGGGEEEEMMMMEEEENNNNTTTT
  235.           Xfwp manages four different kinds of connections:  proxy
  236.           manager (PM) data, X client listen, X client data, and X
  237.           server.  The sysadmin employing xfwp must understand how the
  238.           resources for each of these connection types are allocated
  239.           and reclaimed by xfwp in order to optimize the availability
  240.           of xfwp service.
  241.  
  242.           Each connection-type has a default number of allocation
  243.           slots and a default timeout.  The number of allocation slots
  244.           for PM connections and X server connections is configurable
  245.           via command line options.  Connection timeouts are also
  246.           configurable via command line options.  Each connection
  247.           timeout represents the period the connection will be allowed
  248.           to remain open in the absence of any activity on that
  249.           connection.  Whenever there is activity on a connection, the
  250.           time-to-close is automatically reset.  The default
  251.           distribution of total process connection slots across the
  252.           four connection types, as well as the choice of default
  253.           timeouts for the connection types, is governed by a number
  254.           of assumptions embedded in the xfwp use model.
  255.  
  256.  
  257.           The default number of PM connections is 10 and the default
  258.  
  259.  
  260.  
  261.      Page 4                                          (printed 10/3/02)
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  269.  
  270.  
  271.  
  272.           duration for PM connections is 3,600 seconds (1 hour) for
  273.           each connection after time of last activity. At start-up,
  274.           xfwp listens for PM connection requests on any non-reserved
  275.           port (default of 4444 if not specified on the xfwp command-
  276.           line).  The PM normally connects to xfwp only when a call is
  277.           made to the PM with xfindproxy. Thereafter, the PM remains
  278.           connected to xfwp, even after the messaging between them has
  279.           been completed, for the default connection duration period.
  280.           In some cases this may result in depletion of available PM
  281.           connection slots.  If the sysadmin expects connections to a
  282.           single xfwp from many PM's, xfwp should be started using the
  283.           -pdt command line option, with a timeout value reflecting
  284.           the desired duration that inactive connections will be
  285.           permitted to remain open.
  286.  
  287.           Xfwp client listeners are set up by a call to xfindproxy and
  288.           continue to listen for X client connection requests for a
  289.           default duration of 86,400 seconds (24 hours) from the point
  290.           of last activity.  After this time they are automatically
  291.           closed and their fd's recovered for future allocation.  In
  292.           addressing the question of how to choose some alternative
  293.           timeout value which will guarantee the availability of
  294.           client listen ports, sysadmins should take into
  295.           consideration the expected delay between the time when the
  296.           listener was allocated (using xfindproxy) and the time when
  297.           a client actually attempts to connect to xfwp, as well the
  298.           likelihood that client listeners will be re-used after the
  299.           initial client data connection is closed.
  300.  
  301.           Each client connection is allocated a default lifetime of
  302.           604,800 seconds (7 * 24 hours) from the point when it last
  303.           saw activity.  After this time it is automatically closed
  304.           and its fd's recovered for future allocation.  Because
  305.           server connections are not actually established until a
  306.           connection request from a remote X client arrives at one of
  307.           the xfwp's client listen ports, the client data timeout
  308.           applies both to client-xfwp connections as well as to xfwp-
  309.           server connections.  If the system administrator expects
  310.           many client data connections through xfwp, an overriding of
  311.           the default timeout should be considered.
  312.  
  313.      CCCCOOOONNNNFFFFIIIIGGGGUUUURRRRAAAATTTTIIIIOOOONNNN FFFFIIIILLLLEEEE
  314.           The xfwp configuration file resides on the xfwp host machine
  315.           and is used to determine whether X client data connection
  316.           requests will be permitted or denied.  The path to the file
  317.           is specified at start-up time.  If no configuration file is
  318.           specified, all X client data connection requests routed
  319.           through xfwp will be by default permitted, assuming that
  320.           other X server authorization checks are successful.  If a
  321.           configuration file is supplied but none of its entries
  322.           matches the connection request then the connection is by
  323.           default denied.
  324.  
  325.  
  326.  
  327.      Page 5                                          (printed 10/3/02)
  328.  
  329.  
  330.  
  331.  
  332.  
  333.  
  334.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  335.  
  336.  
  337.  
  338.           If a line in the configuration file begins with the '#'
  339.           character or a new-line character, the line is ignored and
  340.           the evaluator will skip the line.
  341.  
  342.           The configuration file supports two entirely independent
  343.           authorization checks:  one which is performed by xfwp
  344.           itself, and a second which is the result of xfwp's querying
  345.           the target X server.  For the first of these, the
  346.           configuration file employs a syntax and semantic similar to
  347.           that of IP packet-filtering routers.  It contains zero or
  348.           more source-destination rules of the following form:
  349.  
  350.           {permit | deny} <src> <src mask> [<dest> <dest mask>
  351.           [<operator> <service>]]
  352.  
  353.  
  354.           permit/deny the keywords ``permit'' or ``deny'' indicate
  355.                       whether the rule will enable or disable access,
  356.                       respectively
  357.  
  358.           src         the IP address against the host who originated
  359.                       the connection request will be matched,
  360.                       expressed in IP format (x.x.x.x)
  361.  
  362.           src mask    a subnet mask, also in IP format, for further
  363.                       qualifying the source mask.  Bits set in the
  364.                       mask indicate bits of the incoming address to be
  365.                       _i_g_n_o_r_e_d when comparing to the specified src
  366.  
  367.           dest        the IP address against which the destination of
  368.                       the incoming connection request (i.e. the host
  369.                       IP of the X server to which the incoming client
  370.                       is attempting to connect) will be matched
  371.  
  372.           dest mask   a subnet mask, also in IP format, for further
  373.                       qualifying the destination mask.  Bits set in
  374.                       the mask indicate bits of the destination
  375.                       address to be _i_g_n_o_r_e_d when comparing to the
  376.                       specified dest
  377.  
  378.           operator    always ``eq'' (if the service field is not NULL)
  379.  
  380.           service     one of the following three strings:  ``pm'',
  381.                       ``fp'', or ``cd'', corresponding to proxy
  382.                       manager, xfindproxy, or client data,
  383.                       respectively
  384.  
  385.           For the second type of authorization check, the
  386.           configuration file contains zero or more site policy rules
  387.           of the following form:
  388.  
  389.           {require | disallow} sitepolicy <site_policy>
  390.  
  391.  
  392.  
  393.      Page 6                                          (printed 10/3/02)
  394.  
  395.  
  396.  
  397.  
  398.  
  399.  
  400.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  401.  
  402.  
  403.  
  404.           require     specifies that the X server _m_u_s_t be configured
  405.                       with _a_t _l_e_a_s_t _o_n_e of the corresponding site
  406.                       policies, else it must refuse the connection.
  407.  
  408.           disallow    specifies that the X server _m_u_s_t _n_o_t be
  409.                       configured with _a_n_y of the corresponding site
  410.                       policies, else it must refuse the connection.
  411.  
  412.           sitepolicy  a required keyword
  413.  
  414.           <site_policy>
  415.                       specifies the policy string.  The string may
  416.                       contain any combination of alphanumeric
  417.                       characters subject only to interpretation by the
  418.                       target X server
  419.  
  420.      RRRRUUUULLLLEEEESSSS FFFFOOOORRRR EEEEVVVVAAAALLLLUUUUAAAATTTTIIIINNNNGGGG TTTTHHHHEEEE XXXXFFFFWWWWPPPP CCCCOOOONNNNFFFFIIIIGGGGUUUURRRRAAAATTTTIIIIOOOONNNN
  421.           For the first type of configurable authorization checking,
  422.           access can be permitted or denied for each connection type
  423.           based upon source and, optionally, destination and service.
  424.           Each file entry must at a minimum specify the keyword
  425.           ``permit'' or ``deny'' and the two source fields.  The
  426.           destination and service fields can be used to provide
  427.           finer-grained access control if desired.
  428.  
  429.           The algorithm for rule-matching is as follows:
  430.  
  431.                while (more entries to check)
  432.                {
  433.                  if ((<originator IP> AND (NOT <src mask>)) == src)
  434.                    [if ((<dest X server IP> AND (NOT <dest mask>)) ==
  435.              dest)]
  436.                      [if (service fields present and matching)]
  437.                        do either permit or deny connection depending
  438.              on keyword
  439.                  else
  440.                    continue
  441.                }
  442.                if (no rule matches)
  443.                  deny connection
  444.  
  445.           If a permit or deny rule does not specify a service and
  446.           operation, then the rule applies to all services.  If a
  447.           configuration file is specified and it contains at least one
  448.           valid deny or permit rule, then a host that is not
  449.           explicitly permitted will be denied a connection.
  450.  
  451.           Site policy configuration checking constitutes a separate
  452.           (and X server only) authorization check on incoming
  453.           connection requests.  Any number of require or disallow
  454.           rules may be specified, but all rules must be of the same
  455.           type; that is, a single rule file cannot have both
  456.  
  457.  
  458.  
  459.      Page 7                                          (printed 10/3/02)
  460.  
  461.  
  462.  
  463.  
  464.  
  465.  
  466.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  467.  
  468.  
  469.  
  470.           ``require'' and ``disallow'' keywords.  The algorithm for
  471.           this check is as follows:
  472.  
  473.                if (X server recognizes any of the site policy strings)
  474.                  if (keyword == require)
  475.                    permit connection
  476.                  else
  477.                    deny connection
  478.                else
  479.                  if (keyword == require)
  480.                    deny connection
  481.                  else
  482.                    permit connection
  483.  
  484.           The site policy check is performed by xfwp only if the
  485.           source-destination rules permit the connection.
  486.  
  487.  
  488.           EXAMPLES
  489.  
  490.           # if and only if server supports one of these policies then authorize
  491.           # connections, but still subject to applicable rule matches
  492.           #
  493.           require sitepolicy policy1
  494.           require sitepolicy policy2
  495.           #
  496.           # deny pm connections originating on 8.7.6.5 [NOTE:  If pm service
  497.           # is explicitly qualified, line must include destination fields as
  498.           # shown.]
  499.           #
  500.           deny  8.7.6.5  0.0.0.0  0.0.0.0  255.255.255.255  eq  pm
  501.           #
  502.           # permit xfindproxy X server connects to anywhere [NOTE:  If
  503.           # fp service is explicitly qualified, line must include source fields
  504.           # as shown.]
  505.           #
  506.           permit  0.0.0.0  255.255.255.255   0.0.0.0  255.255.255.255  eq  fp
  507.           #
  508.           # permit all connection types originating from the 192.0.0.0
  509.           # IP domain only
  510.           #
  511.           permit  192.0.0.0   0.255.255.255
  512.  
  513.  
  514.           Care should be taken that source-destination rules are
  515.           written in the correct order, as the first matching rule
  516.           will be applied.  In addition to parser syntax checking, a
  517.           special command-line switch (-verify) has been provided to
  518.           assist the sysadmin in determining which rule was actually
  519.           matched.
  520.  
  521.      BBBBUUUUGGGGSSSS
  522.  
  523.  
  524.  
  525.      PPPPaaaaggggeeee 8888                                          ((((pppprrrriiiinnnntttteeeedddd 11110000////3333////00002222))))
  526.  
  527.  
  528.  
  529.  
  530.  
  531.  
  532.      XXXXFFFFWWWWPPPP((((1111))))            XXXX VVVVeeeerrrrssssiiiioooonnnn 11111111 ((((RRRReeeelllleeeeaaaasssseeee 6666....6666))))             XXXXFFFFWWWWPPPP((((1111))))
  533.  
  534.  
  535.  
  536.           Xfwp should check server site policy and security extension
  537.           before allocating a listen port.
  538.  
  539.      SSSSEEEEEEEE AAAALLLLSSSSOOOO
  540.           xfindproxy (1), Proxy Management Protocol spec V1.0,
  541.           proxymngr(1), Xserver(1)
  542.  
  543.      AAAAUUUUTTTTHHHHOOOORRRR
  544.           Reed Augliere, consulting to X Consortium, Inc.
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562.  
  563.  
  564.  
  565.  
  566.  
  567.  
  568.  
  569.  
  570.  
  571.  
  572.  
  573.  
  574.  
  575.  
  576.  
  577.  
  578.  
  579.  
  580.  
  581.  
  582.  
  583.  
  584.  
  585.  
  586.  
  587.  
  588.  
  589.  
  590.  
  591.      Page 9                                          (printed 10/3/02)
  592.  
  593.  
  594.  
  595.