omezení interface na kterých poslouchají síťové služby

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Středa Srpen 11 09:12:26 CEST 2004


On Wed, 11 Aug 2004, AlesD wrote:

>    prohlížel jsem pomocí netstat -l co vše naslouchá spojením z 
> Internetu a chtěl bych tento seznam omezit. imapd "démoni" poslouchají 
> všude, ale např. exim (smtp) poslouchá jen na loopbacku - jenže ten má 
> pro tento účel speciální option.

bind(2) umoznuje zadat IP adresu, na ktere se ma poslouchat: bud konkretni
adresu, a pak se bude poslouchat jen na ni, nebo nulu (INADDR_ANY), a pak
se bude poslouchat na vsech adresach, ktere ten pocitac povazuje za
vlastni.

Nicmene je treba mit na pameti, ze Linux implementuje loose multihoming, a
tudiz se aspon z bezprostredniho okoli lze v principu pripojit na vsechny
jeho interfejsy. Pokud timhle chcete zvysit zabezpeceni, pak je zadouci
nastavit patricne filtry.

> V nam inetd se o možnosti určit interface na kterém program poslouchá
> nepíše - je to možné?

Aspon nektere implementace umi to, ze se misto
	telnet			stream	tcp	...
napise
	telnet na 127.0.0.1	stream	tcp	...

xinetd totez umi direktivou bind.

> Lze nějakým způsobem vynutit určitý interface libovolné
> aplikaci/procesu?

Obtizne.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux