S-tcp-wrapper: (0.06) (slink)(potato) Tcp-wrapper: Restringir acceso a los servicios tcp/udp de inetd por IP Además los accesos e intentos de acceso quedan registrados en los logs (slink)(potato sin Linuxconf)---------------------------------------------- 1) Editar los archivos: /etc/hosts.allow (*) ---8<--- ALL: 127. 192.168.0. --->8--- /etc/hosts.deny (*) ---8<--- ALL: ALL --->8--- *ATENCION: En hosts.allow y hosts.deny es muy importante el retorno de linea en la última linea para que sea válida (al menos con slink) (potato con Linuxconf)----------------------------------------------------- SIMBOLOS UTILIZADOS: --- VENT --- Aparece ventana con título "VENT" # Comentarios /pestaña\ Pulsar pestaña [botón] Pulsar botón (x) opcion Activar opción ( ) opcion Desactivar opción Campo = valor Escribir valor en el Campo 1) Accedemos al menú "Basic services" (Internet services): --- Linuxconf --- /Configuración\ [Configuración de red] --- Configurador de red --- /Tareas como servidor\ [Internet services] 2) Configuramos los permisos de accesos, permitimos nuestro loopback 127. = 127.0.0.0/255.0.0.0 y a nuestra red 192.168.0. = 192.168.0.0/255.255.255.0 y prohibimos todo lo demás --- Basic services --- [Allowed server access] --- Allowed servers --- [Agregar] --- Allowed servers --- Server = ALL Client systems = 127. 192.168.0. Optional command = [Aceptar] [Salir] [Denied server access] --- Denied servers --- [Agregar] --- Denied servers --- Server = ALL Client systems = ALL Optional command = [Aceptar] [Salir] [Salir] ATENCION: Hay algunos servicios que no son lanzados desde inetd, en ellos hay que restringir el acceso a nuestro rango local de IP mediante su propia configuración, ejemplos: DNS, SAMBA (en modo demonio) UN POCO DE TEORIA: El tcp-wrapper es un intermediario, todas las llamadas a tus servicios que son capturadas por el "superdemonio" inetd pueden ser enviadas a /usr/sbin/tcpd con el servicio como parámetro, y el entoces decide permitir la conexión si la IP esta especificada en /etc/hosts.allow y no si esta en /etc/hosts.deny MOTIVO: a) Los servicio en tu maquina generalmente por defecto permiten la conexión a cualquiera (cualquier IP) que se lo pida. b) Es un error común confiar ciegamente en el cortafuegos, si el cortafuegos tiene alguna vulnerabilidad (leete los ejemplos del S-BASES) o no tienes cortafuegos de filtrado de paquetes, cualquiera desde internet puede conectar, intentar usar e intentar abusar de tus servicios. MAS AYUDA: chuleta S-inetd man tcpd man 5 hosts_access man 5 hosts_options