Zakaz pristupu

[Milan Kerslager]

On Tue, 13 Feb 2001, Petr Hruzík wrote:

> potreboval bych zakazat pristup ke vsem sluzbam z urciteho pocitace.
>
> do  /etc/hosts.deny    jsem zapsal
>
> ALL:   nejaky.pocitac.cz
>
> zda se ale, ze to nefunguje.
>
> Nevite prosim, kde delam chybu ?

Chybu delate tim, ze jste si neprecetl manual. Podle: man 5 hosts_access
se nejprve prohlizi hosts.allow a pak az hosts.deny. Pristp je povolen pri
nalezeni prvni shody.

Takze by to slo asi takhle:

/etc/hosts.allow

ALL: ALL EXCEPT nejaky.pocitac.cz

/etc/hosts.deny

ALL: ALL

Dalsim problemem je, ze tcp_wrapper nepouzivaji vsechny aplikace (nektere
ho pouzivaji tak, ze jsou volany pred tcpd - to je temer vse spoustene
pres inetd resp. xinetd nebo diky prilinkovanym statickym knihovnam
tcp_wrapperu - napr. sshd). Z toho vyplyva, ze by asi bylo lepsi udelat:

ipchains -A input -b nejaky.pocitac.cz -j REJECT

Coz ovsem znemozni jak pristup, tak Vase spojeni s tim pocitacem. Kdybyste
chtel odeprit pristup z ciziho pocitace a zaroven povolit pristup z vaseho
na ten cizi, bylo by to slozitejsi (v pripade TCP byste musel zahazovat
prichazejici datagramy s nastavenym SYN flagem, u UDP to tak jednoduche
neni).

V kazdem pripade tahle otazka patri do linux na linux.cz a ne sem. Zde se
resi problematika okolo ceske mutace Red Hatu.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/