linux user group brescia
immagine del castello

Archivio della mailing list

Re: xinetd.conf e parametro only_from

Luca Coianiz lcoianiz a libero.it
Mar 8 Ott 2002 11:09:44 UTC 
>On Tue, Oct 08, 2002 at 01:20:20AM +0200, marco ghidinelli wrote:
>> On Fri, Oct 04, 2002 at 06:38:20PM +0200, Luca Coianiz wrote:
>>>  Per l'FTP nella LAN uso xinetd. Fin qui tutto bene: se non impongo 
>>> troppe restrizioni lancia ProFTP senza problemi e la cosa funziona
>>> (a parte la fastidiosa impossibilit?, per ora, di far leggere a
>>> ProFTP la sua configurazione, cosa che lo obbliga ad usare i
>>> default).
>> ??? perche' 'sta cosa? e' chrootato forse?

 Direi "non credo": nel senso che non è così di proposito (non so come 
fare a chrootare un servizio quindi non dovrei averlo fatto... se non 
per errore).

>>>  Volendo per? poter lanciare ftpd solo in caso di richieste LAN
>>> (quindi NON da internet) ho visto, in xinetd.conf, il parametro
>>> "only_from"... 
>>> e qui son cominciati i dolori: specificando l'indirizzo LAN IPv4
>>>(ad es. 192.168.10.1) il lancio di ftpd non avviene (xinetd.log
>>> riporta la connessione con indirizzo IPv6, qualcosa del tipo
>>> 1:::FF:192.168.10.1 (o simile)... scusate l'imprecisione
      [...]
>>> Settando only_from = 1:::FF:192.168.10.1  la connessione avviene
>>>senza ulteriori problemi (e, giustamente, only from quell'indirizzo).
>>>  Non sono per? riuscito a definire un range d'indirizzi: man 5 
>>> xinetd.conf riporta almeno QUATTRO metodi per farlo ma solo UNO 
>>> funziona.
>>>  1) only_from = 1:::FF:192.168.10.1 1:::FF:192.168.10.2 
>>> 1:::FF:192.168.10.3 ...  (? l'unico che funziona)  :-(
      [...]
>> non uso xinetd. se mandi le righe del manuale in questione magari
>> posso dirti qualcosa di piu'...
> ora che ho internet continuo il discorso: trovo esempi di gente che
> usa only_from nel sequente modo:
> http://cwrulug.cwru.edu/archive/cwrulug/200011/0043.html
> defaults
> {
>         instances = 25
>         log_type = FILE /var/adm/servicelog
>         log_on_success = PID HOST EXIT
>         flags = NORETRY
>         log_on_failure = HOST RECORD ATTEMPT
>         only_from = 129.22.0.0
>         no_access = 1
abled = nntp uucp tftp bootps who shell login exec
>         disabled += finger
> } 

 Anch'io ho tentato di usarlo così (only_from = 192.168.10.0 (ma IPv6) 
per specificare tutta la intranet) senza aggiungere no_access in quanto 
non ero interessato a bloccare singole macchine... peccato che, pur NON 
dando errori (parse error at line nn), non consentisse l'accesso. :-(

> poi anche 
> http://cwrulug.cwru.edu/archive/cwrulug/200011/0043.html
> only_from = 192.168.0.0/24
> only_from = 192.168.0.0/24 10.0.0.0/24

 Stesso risultato.

> e poi anche 
> http://www.linuxfocus.org/English/November2000/article175.shtml
> only_from = 192.0.0.0/8
> quindi secondo me hai problemi sulla tua macchina, visto anche
> quello che dicevi dell'ftp server.

 Quale problema può generarmi un accesso "normale" se specifico l'IP 
intero (ad es. only_from = 192.168.10.1 192.168.10.2 192.168.10.3 fa 
entrare senza problemi le 3 macchine indicate) ma bloccarmi se dico 
only_from = 192.168.10.0 ?

      Bye
      Sky

Maggiori informazioni sulla lista Lug