Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение		[ Отслеживать ]

"hosts.allow пускает всех. спешите!"	+/–
Сообщение от б.б. on 19-Июн-10, 13:23
Пишу в hosts.deny ALL: ALL , а в hosts.allow ALL: 192.168.0.0/16 делаю запрос изнутри сети на свой внешний интернет-адрес ssh 123.45.6.7 и свободно захожу. Что нужно прописать, чтобы полный доступ был только локальных подсетей 192.168.x.y, и никакого доступа снаружи?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "hosts.allow пускает всех. спешите!"	+/–
Сообщение от Etch on 19-Июн-10, 13:58
Дык ты же изнутри заходишь...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от б.б. on 19-Июн-10, 14:20
	>Дык ты же изнутри заходишь... проверил через внешний сервер нмапа - порты видны.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от guest (??) on 19-Июн-10, 19:52
	>проверил через внешний сервер нмапа - порты видны. С чего вы взяли, что hosts_access закрывает какие-то порты??? В 1м посте у вас совершенно правильные настройки. Вот только работать они будут для сервисов которые либо собраны с поддержкой этого механизма, либо запущены через tcpd.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от б.б. on 20-Июн-10, 13:26
	>>проверил через внешний сервер нмапа - порты видны. > >С чего вы взяли, что hosts_access закрывает какие-то порты??? > >В 1м посте у вас совершенно правильные настройки. >Вот только работать они будут для сервисов которые либо собраны с поддержкой >этого механизма, либо запущены через tcpd. openssh их использует, насколько я знаю. vsftpd не через враппер, а самостоятельным демоном - не знаю, может быть и нет. debian lenny.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от guest (??) on 20-Июн-10, 14:02
	>openssh их использует, насколько я знаю. vsftpd не через враппер, а самостоятельным >демоном - не знаю, может быть и нет. проверить легко: ldd some_file в списке библиотек покажет что-то похожее на libwrap
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от б.б. on 22-Июн-10, 10:43
	>>openssh их использует, насколько я знаю. vsftpd не через враппер, а самостоятельным >>демоном - не знаю, может быть и нет. > >проверить легко: ldd some_file в списке библиотек покажет что-то похожее на libwrap > ldd sshd | grep wrap         libwrap.so.0 => /lib/libwrap.so.0 (0xb76f0000) эффекта никакого. переборщики бегают и перебирают, судя по логам fail2ban. а я не хочу опять менять порты, длинные пароли, блокировать все сервисы, мне это неудобно. и не хочу делать два сервера, для сети и для дома, очень жарко дома. хочу просто, чтобы сервер и в интернет смотрел, но доступ к ftp, http, ssh, dns, dhcp и всему остальному был только с 192.168.0.0/16
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от guest (??) on 22-Июн-10, 12:06
	>>>openssh их использует, насколько я знаю. vsftpd не через враппер, а самостоятельным >>>демоном - не знаю, может быть и нет. >> >>проверить легко: ldd some_file в списке библиотек покажет что-то похожее на libwrap >> > >ldd sshd | grep wrap >        libwrap.so.0 => /lib/libwrap.so.0 (0xb76f0000) > >эффекта никакого. переборщики бегают и перебирают, судя по логам fail2ban. а я а что скажет tcpdmatch -d sshd 1.2.3.4 >всему остальному был только с 192.168.0.0/16 так не проще ли повесить все на интерфейс который смотрит в вашу локалку?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от б.б. on 22-Июн-10, 14:42
	>а что скажет tcpdmatch -d sshd 1.2.3.4 tcpdmatch -d sshd 1.2.3.4 warning: sshd: no such process name in /etc/inetd.conf client:   address  1.2.3.4 server:   process  sshd access:   granted любопытно. пойду изучать inetd.conf >так не проще ли повесить все на интерфейс который смотрит в вашу >локалку? а вот это уже второй вопрос, создать интерфейс для локалки, я его всё никак написать не могу, там много. создание бриджа у меня не получилось.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от б.б. on 22-Июн-10, 14:46
	>любопытно. пойду изучать inetd.conf а что ему вообще в inetd.conf писать? чтобы всё работало, как работает, но только правила hosts.* соблюдались?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от guest (??) on 22-Июн-10, 15:16
	> >>а что скажет tcpdmatch -d sshd 1.2.3.4 > >tcpdmatch -d sshd 1.2.3.4 >warning: sshd: no such process name in /etc/inetd.conf >client:   address  1.2.3.4 >server:   process  sshd >access:   granted > >любопытно. пойду изучать inetd.conf Оно так ругается) Похоже я вас обманул и в hosts.* таки есть ошибка сделайте echo  "ALL: ALL" >/etc/hosts.deny echo  "ALL: 192.168.0.0/16" >/etc/hosts.allow и покажите что скажет tcpdmatch -d sshd 1.2.3.4 tcpdmatch -d sshd 192.168.0.1
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от б.б. on 22-Июн-10, 15:30
	>[оверквотинг удален] >>любопытно. пойду изучать inetd.conf > >Оно так ругается) >Похоже я вас обманул и в hosts.* таки есть ошибка >сделайте >echo  "ALL: ALL" >/etc/hosts.deny >echo  "ALL: 192.168.0.0/16" >/etc/hosts.allow >и покажите что скажет >tcpdmatch -d sshd 1.2.3.4 >tcpdmatch -d sshd 192.168.0.1 С ума сойти, заработало. А в чём ошибка? Идентичные же файлы, кроме комментариев: tcpdmatch -d sshd 1.2.3.4 warning: sshd: no such process name in /etc/inetd.conf client:   address  1.2.3.4 server:   process  sshd matched:  hosts.deny line 1 access:   denied tcpdmatch -d sshd 192.168.0.1 warning: sshd: no such process name in /etc/inetd.conf client:   address  192.168.0.1 server:   process  sshd matched:  hosts.allow line 1 access:   granted
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от guest (??) on 22-Июн-10, 15:47
	>С ума сойти, заработало. А в чём ошибка? Идентичные же файлы, кроме >комментариев: Возможно у вас не было "\n" в конце строки, ну или какая-то подобная мелочь, которую не видно не вооруженным глазом)
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от pwn (??) on 23-Мрт-18, 20:56
	>>С ума сойти, заработало. А в чём ошибка? Идентичные же файлы, кроме >>комментариев: > Возможно у вас не было "\n" в конце строки, ну или какая-то > подобная мелочь, которую не видно не вооруженным глазом) Лет много уже прошло, но налетел на похожие грабли: Debian      пишу номер порта явно: 22:1.2.3.4  работает слака 14.2 то же самое 22:1.2.3.4        не работает sshd:1.2.3.4      работает всю голову сломал пока разобрался. морду бы набить тому кто писал обработчик этого добра в слаквари...
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

3. "hosts.allow пускает всех. спешите!"	+/–
Сообщение от Grey (ok) on 19-Июн-10, 16:47
>[оверквотинг удален] > >ALL: ALL > >, а в hosts.allow > >ALL: 192.168.0.0/16 > >делаю запрос изнутри сети на свой внешний интернет-адрес ssh 123.45.6.7 и свободно >захожу. Что нужно прописать, чтобы полный доступ был только локальных подсетей >192.168.x.y, и никакого доступа снаружи? в hosts.allow заремьте строку (в начале файла) ALL : ALL : allow
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "hosts.allow пускает всех. спешите!"	–1 +/–
	Сообщение от б.б. on 19-Июн-10, 16:53
	>в hosts.allow заремьте строку (в начале файла) >ALL : ALL : allow нет такой строчки. вот весь файл # /etc/hosts.allow: list of hosts that are allowed to access the system. #                   See the manual pages hosts_access(5) and hosts_options(5). # # Example:    ALL: LOCAL @some_netgroup #             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu # # If you're going to protect the portmapper use the name "portmap" for the # daemon name. Remember that you can only use the keyword "ALL" and IP # addresses (NOT host or domain names) for the portmapper, as well as for # rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8) # for further information. # ALL: 192.168.0.0/16
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "вот весь hosts.deny на всякий случай"	–1 +/–
	Сообщение от б.б. on 19-Июн-10, 17:09
	# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system. #                  See the manual pages hosts_access(5) and hosts_options(5). # # Example:    ALL: some.host.name, .some.domain #             ALL EXCEPT in.fingerd: other.host.name, .other.domain # # If you're going to protect the portmapper use the name "portmap" for the # daemon name. Remember that you can only use the keyword "ALL" and IP # addresses (NOT host or domain names) for the portmapper, as well as for # rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8) # for further information. # # The PARANOID wildcard matches any host whose name does not match its # address. # You may wish to enable this to ensure any programs that don't # validate looked up hostnames still leave understandable logs. In past # versions of Debian this has been the default. # ALL: PARANOID ALL: ALL
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "hosts.allow пускает всех. спешите!"	+/–
Сообщение от Serge (??) on 20-Июн-10, 08:39
сервиc точно собран с поддержкой tcpwrapper ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от б.б. on 20-Июн-10, 13:27
	>сервиc точно собран с поддержкой tcpwrapper ? дефолт из ленни. мне крайне сомнительно, что там этого нет.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "hosts.allow пускает всех. спешите!"	+/–
Сообщение от Аноним (??) on 20-Июн-10, 15:06
>[оверквотинг удален] > >ALL: ALL > >, а в hosts.allow > >ALL: 192.168.0.0/16 > >делаю запрос изнутри сети на свой внешний интернет-адрес ssh 123.45.6.7 и свободно >захожу. Что нужно прописать, чтобы полный доступ был только локальных подсетей >192.168.x.y, и никакого доступа снаружи? этот файл действует на сервисы которые запускаются через inetd
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "hosts.allow пускает всех. спешите!"	+/–
	Сообщение от Аноним (??) on 20-Июн-10, 15:10
	> >этот файл действует на сервисы которые запускаются через inetd и программы собранные с поддержкой tcp wrappers
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема