omezení interface na kterých poslouchají síťové služby
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Srpen 11 09:12:26 CEST 2004
On Wed, 11 Aug 2004, AlesD wrote:
> prohlížel jsem pomocí netstat -l co vše naslouchá spojením z
> Internetu a chtěl bych tento seznam omezit. imapd "démoni" poslouchají
> všude, ale např. exim (smtp) poslouchá jen na loopbacku - jenže ten má
> pro tento účel speciální option.
bind(2) umoznuje zadat IP adresu, na ktere se ma poslouchat: bud konkretni
adresu, a pak se bude poslouchat jen na ni, nebo nulu (INADDR_ANY), a pak
se bude poslouchat na vsech adresach, ktere ten pocitac povazuje za
vlastni.
Nicmene je treba mit na pameti, ze Linux implementuje loose multihoming, a
tudiz se aspon z bezprostredniho okoli lze v principu pripojit na vsechny
jeho interfejsy. Pokud timhle chcete zvysit zabezpeceni, pak je zadouci
nastavit patricne filtry.
> V nam inetd se o možnosti určit interface na kterém program poslouchá
> nepíše - je to možné?
Aspon nektere implementace umi to, ze se misto
telnet stream tcp ...
napise
telnet na 127.0.0.1 stream tcp ...
xinetd totez umi direktivou bind.
> Lze nějakým způsobem vynutit určitý interface libovolné
> aplikaci/procesu?
Obtizne.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux