Dear Anatoly Pugachev, On Mon, 19 Oct 2015 16:39:24 +0300 Anatoly Pugachev <mator...@gmail.com> wrote:
> 2015-10-19 12:16 GMT+03:00 Igor Dobryninsky <e...@apxapa.ru>: > > > > Добрый день. > > > > Обнаружил, мягко выражаясь, странность в работе xinetd в Debian > > Wheezy. > > > > Есть сервер, на нём запускается atftpd через xinetd. > > В /etc/xinetd.d/tftp есть параметр only_from, куда засунуты наши > > внутренние сети. Сконфигурировано всё в незапамятные времена. > > > > Вдруг сегодня в логах вижу кучу сообщений о том, что некий > > 209.126.117.235 увлечённо роется в каталогах TFTP-сервера, выискивая > > там конфиги. Проверил настройки - ограничения в only_from никуда не > > делись. Начал с ними экспериментировать и получил странную картину: > > если указать в /etc/xinetd.d/tftp строку 'only_from = 127.0.0.1 > > 10.9.0.0/24', то всё работает корректно, сервер пускает только тех, > > кого положено, а если там 'only_from = 127.0.0.1 10.9.0.0/16' или > > просто 'only_from = 127.0.0.1 10.9.0.0' - то пускает кого попало. > > > > На своей персональной машинке стоит Jessie, и там такого безобразия > > вроде бы не наблюдается. > > > man xinetd.conf : > > If the INTERCEPT flag is not used, access control on the address of > the remote host for services where wait is yes and socket_type is > dgram is performed only on the first packet. The server may then > accept packets from hosts not in the access control list. This can hap‐ > pen with RPC services. Это не объясняет того факта, что при 'only_from = 127.0.0.1 10.9.0.0/24' сервер пускает только из сети 10.9.0.0/24, а при 'only_from = 127.0.0.1 10.9.0.0/16' - со всего интернета. > вероятно надо вынести access control из xinetd, в iptables. Это я, конечно же, сразу же и сделал. -- Best Regards, Igor Dobryninsky, Moscow, Russia
