Re: xinetd.conf e parametro only_from
Luca Coianiz
lcoianiz a libero.it
Mar 8 Ott 2002 11:09:44 UTC
>On Tue, Oct 08, 2002 at 01:20:20AM +0200, marco ghidinelli wrote:
>> On Fri, Oct 04, 2002 at 06:38:20PM +0200, Luca Coianiz wrote:
>>> Per l'FTP nella LAN uso xinetd. Fin qui tutto bene: se non impongo
>>> troppe restrizioni lancia ProFTP senza problemi e la cosa funziona
>>> (a parte la fastidiosa impossibilit?, per ora, di far leggere a
>>> ProFTP la sua configurazione, cosa che lo obbliga ad usare i
>>> default).
>> ??? perche' 'sta cosa? e' chrootato forse?
Direi "non credo": nel senso che non è così di proposito (non so come
fare a chrootare un servizio quindi non dovrei averlo fatto... se non
per errore).
>>> Volendo per? poter lanciare ftpd solo in caso di richieste LAN
>>> (quindi NON da internet) ho visto, in xinetd.conf, il parametro
>>> "only_from"...
>>> e qui son cominciati i dolori: specificando l'indirizzo LAN IPv4
>>>(ad es. 192.168.10.1) il lancio di ftpd non avviene (xinetd.log
>>> riporta la connessione con indirizzo IPv6, qualcosa del tipo
>>> 1:::FF:192.168.10.1 (o simile)... scusate l'imprecisione
[...]
>>> Settando only_from = 1:::FF:192.168.10.1 la connessione avviene
>>>senza ulteriori problemi (e, giustamente, only from quell'indirizzo).
>>> Non sono per? riuscito a definire un range d'indirizzi: man 5
>>> xinetd.conf riporta almeno QUATTRO metodi per farlo ma solo UNO
>>> funziona.
>>> 1) only_from = 1:::FF:192.168.10.1 1:::FF:192.168.10.2
>>> 1:::FF:192.168.10.3 ... (? l'unico che funziona) :-(
[...]
>> non uso xinetd. se mandi le righe del manuale in questione magari
>> posso dirti qualcosa di piu'...
> ora che ho internet continuo il discorso: trovo esempi di gente che
> usa only_from nel sequente modo:
> http://cwrulug.cwru.edu/archive/cwrulug/200011/0043.html
> defaults
> {
> instances = 25
> log_type = FILE /var/adm/servicelog
> log_on_success = PID HOST EXIT
> flags = NORETRY
> log_on_failure = HOST RECORD ATTEMPT
> only_from = 129.22.0.0
> no_access = 1
abled = nntp uucp tftp bootps who shell login exec
> disabled += finger
> }
Anch'io ho tentato di usarlo così (only_from = 192.168.10.0 (ma IPv6)
per specificare tutta la intranet) senza aggiungere no_access in quanto
non ero interessato a bloccare singole macchine... peccato che, pur NON
dando errori (parse error at line nn), non consentisse l'accesso. :-(
> poi anche
> http://cwrulug.cwru.edu/archive/cwrulug/200011/0043.html
> only_from = 192.168.0.0/24
> only_from = 192.168.0.0/24 10.0.0.0/24
Stesso risultato.
> e poi anche
> http://www.linuxfocus.org/English/November2000/article175.shtml
> only_from = 192.0.0.0/8
> quindi secondo me hai problemi sulla tua macchina, visto anche
> quello che dicevi dell'ftp server.
Quale problema può generarmi un accesso "normale" se specifico l'IP
intero (ad es. only_from = 192.168.10.1 192.168.10.2 192.168.10.3 fa
entrare senza problemi le 3 macchine indicate) ma bloccarmi se dico
only_from = 192.168.10.0 ?
Bye
Sky
Maggiori informazioni sulla lista
Lug
|