Re: Wheezy, xinetd & only_from
Dear Anatoly Pugachev,
On Mon, 19 Oct 2015 16:39:24 +0300
Anatoly Pugachev <matorola@gmail.com> wrote:
> 2015-10-19 12:16 GMT+03:00 Igor Dobryninsky <egor@apxapa.ru>:
> >
> > Добрый день.
> >
> > Обнаружил, мягко выражаясь, странность в работе xinetd в Debian
> > Wheezy.
> >
> > Есть сервер, на нём запускается atftpd через xinetd.
> > В /etc/xinetd.d/tftp есть параметр only_from, куда засунуты наши
> > внутренние сети. Сконфигурировано всё в незапамятные времена.
> >
> > Вдруг сегодня в логах вижу кучу сообщений о том, что некий
> > 209.126.117.235 увлечённо роется в каталогах TFTP-сервера, выискивая
> > там конфиги. Проверил настройки - ограничения в only_from никуда не
> > делись. Начал с ними экспериментировать и получил странную картину:
> > если указать в /etc/xinetd.d/tftp строку 'only_from = 127.0.0.1
> > 10.9.0.0/24', то всё работает корректно, сервер пускает только тех,
> > кого положено, а если там 'only_from = 127.0.0.1 10.9.0.0/16' или
> > просто 'only_from = 127.0.0.1 10.9.0.0' - то пускает кого попало.
> >
> > На своей персональной машинке стоит Jessie, и там такого безобразия
> > вроде бы не наблюдается.
> >
> man xinetd.conf :
>
> If the INTERCEPT flag is not used, access control on the address of
> the remote host for services where wait is yes and socket_type is
> dgram is performed only on the first packet. The server may then
> accept packets from hosts not in the access control list. This can hap‐
> pen with RPC services.
Это не объясняет того факта, что при 'only_from = 127.0.0.1
10.9.0.0/24' сервер пускает только из сети 10.9.0.0/24, а при
'only_from = 127.0.0.1 10.9.0.0/16' - со всего интернета.
> вероятно надо вынести access control из xinetd, в iptables.
Это я, конечно же, сразу же и сделал.
--
Best Regards, Igor Dobryninsky, Moscow, Russia
Reply to: