Вопрос по vsftpd

[ASnake]

Схема такая
локалка-(eth0)AltLinux Office Server 4.0(eth1)(ppp0)-провайдер(рррое)
раздача Interneta через nat, без прокси
настроки стандартные через альтератор + для раздачи в nat POSTROUTING прописано -s 192.168.1.1 -d ! 192.168.1.15 -j MASQUERADE
для каждой машины в сети
192.168.1.1 - машина в локалке
192.168.1.15 - сервер (eth0 -провайдер. eth1-локалка)

Сетевой экран-Правила фильтрации-Интерфейс eth1 галочек нигде нет.
Сетевой экран-Правила фильтрации-Интерфейс eth0 галочки
-Конфигуратор
-Сервер доменных имён (DNS)
-Передача файлов (FTP)
-Служебные пакеты (ICMP)
-Управление сетью (SNMP)
-Удалённый доступ (SSH)
-Веб-сервер (HTTP/HTTPS)

Смотрю /var/log/vsftpd.log, а там вот такое

Код: [Выделить]

Sun May 10 21:53:35 2009 [pid 6869] CONNECT: Client "212.95.47.160"
Tue May 12 15:11:55 2009 [pid 6451] CONNECT: Client "192.168.1.1"
Tue May 12 15:11:56 2009 [pid 6450] [snake] OK LOGIN: Client "192.168.1.1"
Каким образом  "CONNECT: Client "212.95.47.160" " достучался до фтп?
И как этого избежать в дальнейшем?

[ruslandh]

Пропишите в настройках xinetd только ту сеть, которой должен быть доступен ftp сервер.

[Drool]

Пропишите в настройках xinetd только ту сеть, которой должен быть доступен ftp сервер.

Зачем так глобально? Лучше прописать ограничение адресов в /etc/xinetd.d/vsftpd. К примеру на работе у меня так:

Код: [Выделить]

cat /etc/xinetd.d/vsftpd
# default: off
# description: The vsftpd FTP server.
service ftp
{
        disable         = no
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        only_from       += 192.168.5.0/24 10.32.20.13 10.32.20.15
        nice            = 10
        rlimit_as       = 64M
        server          = /usr/sbin/vsftpd
#       server_args     =
}Ключевой параметр - only_from.

[ASnake]

а почему вообще такое произошло?
ведь на eth1 не разрешены любые соединения с сервером.

[ruslandh]

Drool - это-ведь тоже настройки xinetd. Собственно это я и имел ввиду.

[Drool]

Drool - это-ведь тоже настройки xinetd. Собственно это я и имел ввиду.

Не совсем - /etc/xinetd.conf тоже имеет only_from, глобально, для всех своих поддемонов.

[ruslandh]

Ну там-то трогать небезопасно.

[ASnake]

я что-то запутался где потенциально опасно only_from
/etc/xinetd.conf
или
/etc/xinetd.d/vsftpd ?
и почему если не секрет?

[Drool]

я что-то запутался где потенциально опасно only_from
/etc/xinetd.conf
или
/etc/xinetd.d/vsftpd ?
и почему если не секрет?

В /etc/xinetd.conf, потому-что повлияет на все /etc/xinetd.d/*

[ASnake]

Спасибо!

[ASnake]

Не понимаю, вот опять смотрю /var/log/syslog/messages

а там

Код: [Выделить]

May 24 12:42:22 localhost sshd[6731]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:42:22 localhost sshd[6731]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4a
May 24 12:42:23 localhost sshd[6731]: reverse mapping checking getaddrinfo for cpanel.arasline.com [78.40.231.130] failed - POSSIBLE BREAK-IN ATTEMPT!
May 24 12:42:26 localhost sshd[6731]: Failed password for ROOT USER root from 78.40.231.130 port 47491 ssh2
May 24 12:42:26 localhost sshd[6734]: Received disconnect from 78.40.231.130: 11: Bye Bye
......для уменьшения листинга вырезал.......
May 24 12:45:11 localhost sshd[6995]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:45:11 localhost sshd[6995]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4a
May 24 12:45:13 localhost sshd[6995]: reverse mapping checking getaddrinfo for cpanel.arasline.com [78.40.231.130] failed - POSSIBLE BREAK-IN ATTEMPT!
May 24 12:45:15 localhost sshd[6995]: Failed password for ROOT USER root from 78.40.231.130 port 48303 ssh2
May 24 12:45:15 localhost sshd[6998]: Received disconnect from 78.40.231.130: 11: Bye Bye
May 24 12:45:15 localhost sshd[7001]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:45:15 localhost sshd[7001]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4a
May 24 12:45:16 localhost sshd[7001]: reverse mapping checking getaddrinfo for cpanel.arasline.com [78.40.231.130] failed - POSSIBLE BREAK-IN ATTEMPT!
May 24 12:45:18 localhost sshd[7001]: Failed password for ROOT USER root from 78.40.231.130 port 48611 ssh2
May 24 12:45:18 localhost sshd[7004]: Received disconnect from 78.40.231.130: 11: Bye Bye
May 24 12:45:18 localhost sshd[7007]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:45:18 localhost sshd[7007]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4a
May 24 12:45:20 localhost sshd[7007]: reverse mapping checking getaddrinfo for cpanel.arasline.com [78.40.231.130] failed - POSSIBLE BREAK-IN ATTEMPT!
May 24 12:45:22 localhost sshd[7007]: Failed password for ROOT USER root from 78.40.231.130 port 48901 ssh2
May 24 12:45:22 localhost sshd[7010]: Received disconnect from 78.40.231.130: 11: Bye Bye
May 24 12:45:22 localhost sshd[7013]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:45:22 localhost sshd[7013]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4a
May 24 12:45:24 localhost sshd[7013]: reverse mapping checking getaddrinfo for cpanel.arasline.com [78.40.231.130] failed - POSSIBLE BREAK-IN ATTEMPT!
May 24 12:45:26 localhost sshd[7013]: Failed password for ROOT USER root from 78.40.231.130 port 49272 ssh2
May 24 12:45:26 localhost sshd[7016]: Received disconnect from 78.40.231.130: 11: Bye Bye
May 24 12:45:26 localhost sshd[7019]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:45:26 localhost sshd[7019]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4a
May 24 12:45:27 localhost sshd[7019]: reverse mapping checking getaddrinfo for cpanel.arasline.com [78.40.231.130] failed - POSSIBLE BREAK-IN ATTEMPT!
May 24 12:45:29 localhost sshd[7019]: Failed password for ROOT USER root from 78.40.231.130 port 49565 ssh2
May 24 12:45:29 localhost sshd[7022]: Received disconnect from 78.40.231.130: 11: Bye Bye
May 24 12:45:30 localhost sshd[7025]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:45:30 localhost sshd[7025]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4a
May 24 12:45:31 localhost sshd[7025]: reverse mapping checking getaddrinfo for cpanel.arasline.com [78.40.231.130] failed - POSSIBLE BREAK-IN ATTEMPT!
May 24 12:45:33 localhost sshd[7025]: Failed password for ROOT USER root from 78.40.231.130 port 49887 ssh2
May 24 12:45:33 localhost sshd[7028]: Received disconnect from 78.40.231.130: 11: Bye Bye
May 24 12:55:01 localhost crond[7033]: (lightsquid) CMD (/usr/sbin/lightparser.pl today)
May 24 12:57:03 localhost sshd[7041]: Unable to check blacklist for host key 33:cd:ff:2a:d0:0d:eb:3c:d6:66:94:57:4f:2e:51:bb
May 24 12:57:03 localhost sshd[7041]: Unable to check blacklist for host key 3f:a2:a2:1e:03:39:40:73:98:8c:4c:45:01:b1:ed:4aИ вот такая ерунда с такой частотой в течении 3 минут?
Как этот по ssh пытается подключится, ведь у меня в альтераторе не разрешены соединения с сервером из вне?
Я так пониаю таже проблема что и vsftpd. В итоге не запрещены соединения из вне.
Как запретить, действительно запретить все соединения из вне, кроме тех что я захочу разрешить?
А не может это каким-то макаром заворачиваться через локалку?
Кто этот такой cpanel.arasline.com (78.40.231.130)?

[ruslandh]

Альтератор "большой" - где запрещены. В файерволе ? - Тогда смотрите что за правила установил альтератор для этого запрета в iptables.