2015-10-19 12:16 GMT+03:00 Igor Dobryninsky <
egor@apxapa.ru>:
>
> Добрый день.
>
> Обнаружил, мягко выражаясь, странность в работе xinetd в Debian
> Wheezy.
>
> Есть сервер, на нём запускается atftpd через xinetd.
> В /etc/xinetd.d/tftp есть параметр only_from, куда засунуты наши
> внутренние сети. Сконфигурировано всё в незапамятные времена.
>
> Вдруг сегодня в логах вижу кучу сообщений о том, что некий
> 209.126.117.235 увлечённо роется в каталогах TFTP-сервера, выискивая
> там конфиги. Проверил настройки - ограничения в only_from никуда не
> делись. Начал с ними экспериментировать и получил странную картину:
> если указать в /etc/xinetd.d/tftp строку '_only_from_ = 127.0.0.1
>
10.9.0.0/24', то всё работает корректно, сервер пускает только тех,
> кого положено, а если там '_only_from_ = 127.0.0.1
10.9.0.0/16' или
> просто '_only_from_ = 127.0.0.1 10.9.0.0' - то пускает кого попало.
>
> На своей персональной машинке стоит Jessie, и там такого безобразия
> вроде бы не наблюдается.
>
man xinetd.conf :
If the INTERCEPT flag is not used, access control on the address of the remote host for services where wait is yes and socket_type is
dgram is performed only on the first packet. The server may then accept packets from hosts not in the access control list. This can hap‐
pen with RPC services.
вероятно надо вынести access control из xinetd, в iptables.