xinetd を使用したアクセス制御設定

xinetd では inetd 同様に接続許可/不許可ホストを指定できます。
また、DoS 攻撃の回避やサービス提供時間の限定等も行う事が出来ます。

telnet サービスを以下の条件で公開する物とします。

1. サービス時間は 10:00-19:00 の間
2. サービスを受けられるのは eth1(192.168.1.10) に接続された 192.168.0.1-254 の
   アドレスを持つクライアントとサーバー自身のみ
3. DoS 攻撃を回避する為に 1 秒間に接続できるのは 2 コネクションのみであり、
   かつ、コネクションが切れた際に再度接続する為に10秒間待たなくてはならない

この場合の xinetd 用設定ファイルは以下のようになります。

例：
[/etc/xinetd/telnet.conf]
---------------------------------------------------
service telnet                                 (1)      
{
  socket_type = stream                         (2)
  protocol = tcp                               (3)
  wait = no                                    (4)
  user = root                                  (5)
  server = /usr/sbin/in.telnetd                (6)
  server_args = -h                             (7)
  log_on_success += DURATION USERID            (8)
  log_on_failure += USERID                     (9)
  access_times = 10:00-19:00                   (10)
  bind = 192.168.1.10                          (11)
  only_from = localhost 192.168.1.0/24         (12)
  cps = 2 10                                   (13)
}
---------------------------------------------------

(1) /etc/service ファイルに指定されているサービス名を指定します。
(2) TCP では stream を UDP では dgram を指定します。
(3) プロトコルタイプを指定します。
(4) TCP では no を UDP では yes を指定します。
(5) service で指定されてたアプリケーションを起動するユーザを指定します。
(6) 起動するファイルを指定します。
(7) 起動コマンドに追加するオプションを指定します。
(8) ログインに成功したユーザとログイン時間をログに残します。
(9) ログインに失敗したユーザをログインに残します。
(10) ログインを許可する時間を指定します。
(11) アクセスを許可するインターフェイスのIPアドレスを指定します。
(12) ログインを許可するアドレス(ネットワーク)を指定します。
(13) 一秒間に接続できるコネクションの制限をします。
　　 コネクション数と再びアクセスできるまでの秒数を引数に指定します。


そのほかにも、同時接続の制限を行う以下のような設定が用意されています。

per_source = 2
一つの送信元に対する同時アクセス数を制限をします。

instances = 4 
同時接続数を制限します。デフォルトは無制限です。  

詳細につきましては、`man xinetd.conf` 等をご覧ください。

(none)

Last modified : Wed Feb 27 JST 2002 # 1

---