Re: [KFUG] TCP Wrapper HTTPD ?

News, Internal, Projects, Home
Software, Support, Documentation

Re: [KFUG] TCP Wrapper HTTPD ?

To: questions@xxxxxxxxxxxxxx
Subject: Re: [KFUG] TCP Wrapper로 HTTPD는 못 막는겁니까?
From: Pyun YongHyeon <yongari@xxxxxxxxxxx>
Date: Fri, 9 Apr 2004 15:14:39 +0900
Content-disposition: inline
Content-transfer-encoding: 8bit
Content-type: text/plain; charset=euc-kr
Delivered-to: mhonarc-archiver@kr.freebsd.org
Delivered-to: questions@kr.FreeBSD.org
In-reply-to: <039401c41de4$751f6fc0$d50ee69b@younghhqmj7atr>
List-help: <mailto:questions-request@kr.FreeBSD.org?subject=help>
List-id: 일반적인 질문과 답변 <questions.kr.FreeBSD.org>
List-post: <mailto:questions@kr.FreeBSD.org>
List-subscribe: <http://www.kr.FreeBSD.org/mailman/listinfo/questions>, <mailto:questions-request@kr.FreeBSD.org?subject=subscribe>
List-unsubscribe: <http://www.kr.FreeBSD.org/mailman/listinfo/questions>, <mailto:questions-request@kr.FreeBSD.org?subject=unsubscribe>
References: <039401c41de4$751f6fc0$d50ee69b@younghhqmj7atr>
Reply-to: yongari@xxxxxxxxxxx
Sender: questions-bounces@xxxxxxxxxxxxxx
User-agent: Mutt/1.4.1i

On Fri, Apr 09, 2004 at 12:40:52PM +0900, Young S. Choi wrote:
 > tenet2@/etc# uname -a
 > FreeBSD tenet2.knu.ac.kr 4.6-RELEASE FreeBSD 4.6-RELEASE #0: Mon Aug 19
 > 03:23:02 KST 2002     root@xxxxxxxxxxxxxxxx:/usr/src/sys-altq/compile/ALTQ
 > i386
 > 
 > 
 > 입니다.
 > 
 > 간단한 웹서버로 쓰고 있지만, 대부분은 시뮬레이터를 돌리고 있는데요,
 > 
 > 짜증나게 외부에서 접속하고 그래서 학교쪽 IP가 아니면(155.230.X.X 의
 > B클래스를 쓰고 있습니다.)
 > 
 > 몽땅다 막으려고 합니다. 아... 자꾸 광고 메일이 너무 많이 오길레 메일서버로는
 > 쓰지도 않지만 sendmail끄는(?) 방법도 모르겠고 끄면 안될것 같아서 sendmail로
 > 수신이나 relay도 막으려고 했습니다.
 > 
 > hosts.allow는 다음과 같습니다.
 > 
 >      24 ALL : localhost 127.0.0.1 : allow
 >      25 ALL : tenet2.knu.ac.kr 155.230.12.92 : allow
 >      26 ALL : PARANOID : RFC931 20 : deny
 >      27 sendmail : localhost : allow
 >      28 sendmail : ALL : deny
 >      29 proftpd : 155.230.0.0/255.255.0.0 : allow
 >      30 telnetd : 155.230.0.0/255.255.0.0 : allow
 >      31 fingerd : ALL \
 >      32         : spawn (echo Finger. | \
 >      33          /usr/bin/mail -s "tcpd\: %u@%h[%a] fingered me!" root) & \
 >      34         : deny
 >      35 ALL : ALL : deny
 >      36 ALL : ALL \
 >      37         : severity auth.info \
 >      38         : twist /bin/echo "You are not welcome to use %d from %h."
 > 
 > (설정이 간단하지만 의도한되로 된것인지는 모르겠습니다.) 아무튼 telnet, ftp만
 > 학교내 컴퓨터로 허용하고 나머지는 몽땅 다막은 상태입니다. 대충 ftp,
 > telnet등은 안들어와지는걸 확인했구요.(tcpdmatch로...)
 > 
 > 문제는.... 이제 웹은 그래도 다른곳에서 접속 가능하게 해주려고 했는데....
 > allow하지도 않았는데 된다는 겁니다.
 > 
 > 혹시나 해서 All:ALL:deny해도 웹은 되더군요.
 > 
 > 아무래도 httpd가 standalone인데요... 이것 때문인것 같기는 한데.
 > 
 > 제가 설정이 잘못되서 그런건지 아니면 tcp wrapper자체가 inetd를 통해서 말고는
 > 막지를 못해서 그러는건지 확신할수가없습니다.(sendmail도 inetd는 아니지
 > 않나요?)
 > 
웹은 inetd(8)를 통해서 실행되지 않으니까 TCP wrapper의 영향을 받지
않습니다. sendmail도 보통은 inetd(8)로 실행되지는 않지만 sendmail의
경우는 libwrap과 link되어 있기 때문에 TCP wrapper가 동작합니다.
(sshd(8)를 생각하면 되겠습니다.)

sendmail을 실행하지 않으려면 rc.conf에 sendmail_enable="NONE"
으로 하면 됩니다.(4.6R에서도 NONE을 인식하는지는 잘 모르겠습니다.)

참고로 TCP wrapper는 TCP 접속만 제어하고 3-way handshaking이 일어난
후에 검사되기 때문에 안전한 방법은 아닙니다. 4.X에선 ipf/ipfw를
사용하는 게 좋겠습니다.

 > 답변 미리 감사드립니다.
 > 

-- 
Pyun YongHyeon <http://www.kr.freebsd.org/~yongari>
_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions

참조:
- [KFUG] TCP Wrapper로 HTTPD는 못 막는겁니까?
  - From: Young S. Choi

이전 글: [KFUG] TCP Wrapper로 HTTPD는 못 막는겁니까?
다음 글: Re: [KFUG] TCP Wrapper로 HTTPD는 못 막는겁니까?
이전 댓글: [KFUG] TCP Wrapper로 HTTPD는 못 막는겁니까?
다음 댓글: Re: [KFUG] TCP Wrapper로 HTTPD는 못 막는겁니까?

[ 날짜순 색인 ] [ 댓글순 색인 ] [ 최상위 색인] [ 검색]