https://slinkov.ru/openforum/vsluhforumID3/84476.html Спустя 7 лет с момента прошлого релиза доступна (http://www.xinetd.org/) новая версия проекта xinetd 2.3.15 в которой устранена уязвимость (http://www.openwall.com/lists/oss-security/2012/05/09/5), позволяющая обойти блокировку сетевых портов межсетевым экраном. Проблема проявляется (https://bugzilla.redhat.com/show_bug.cgi?id=790940) для конфигурация xinetd с включенным сервисом tcpmux-server (тип сервиса 'type = TCPMUX' или 'type = TCPMUXPLUS'), принимающим соединение на 1 сетевом порту. Подсоединившись к 1 порту внешний запрос может быть перенаправлен к любому активному локальному сервису, даже если он закрыт для внешнего доступа межсетевым экраном. Для успешной эксплуатации в конфигурации должна быть активна опция "enable tcpmux-server", которая по умолчанию отключена.<br><br><br><br>Например, для доступа к CVS можно выполнить:<br><br><br>&lt;font color="#461b7e"&gt;<br> $ telnet host 1<br> Trying x.x.x.x...<br> Connected to host (x.x.x.x).<br> Escape character is '^]'.<br> cvspserver<br><br> cvs [pserver aborted]: bad auth pro https://slinkov.ru/openforum/vsluhforumID3/84476.html#12 Fri, 11 May 2012 05:34:25 GMT Уже по комментарию вида "50 мбит" видно уровень подготовки.<br>Нагрузку на маршрутизаторах считают не в мегабитах, а в pps.<br>50 мегабит ната с коннтраком прожует дир-825 с опенврт не поперхнувшись. Полноценный сервак с оптероном/ксеоном и интеловской сетевушкой способен на много большее, и 300 kpps, и выше, лишь руки были откуда надо.<br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#10 Thu, 10 May 2012 19:17:37 GMT &gt;Докажите.<br><br>Включи на маршрутизаторе c трафиком 50 мегабит/сек connection tracking и наблюдай в top как si жрёт CPU.<br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#9 Thu, 10 May 2012 16:23:29 GMT &gt; А с чего ты взял, что правила iptables/iproute несут меньшую нагрузку?<br><br>Как минимум, с того, что они в ядре.<br><br>&gt; Iptable вообще-то очень жирный костыль. <br><br>Докажите.<br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#8 Thu, 10 May 2012 15:40:28 GMT А с чего ты взял, что правила iptables/iproute несут меньшую нагрузку?<br>Iptable вообще-то очень жирный костыль. <br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#7 Thu, 10 May 2012 11:34:06 GMT Это дублирование имеющейся функциональности, при том, что в этом коде возможны ошибки с большей вероятностью (обновление раз в 7 лет), чем в ядре. При этом, я уверен, производительность оно покажет ниже, чем iptables+iproute2 на той же задаче.<br>Какие у этого есть use-case, с которыми не могут справиться штатные механизмы?<br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#6 Thu, 10 May 2012 10:58:35 GMT Если всё, что ты не понимаешь, называть дырявыми костылями, тогда да - не нужен.<br>Ламповые компьютеры тоже не нужны?<br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#5 Thu, 10 May 2012 10:35:26 GMT &gt;&gt; А конкретный пример привести? Да по русски?<br>&gt; Ну например раскидывание бродкаста по типам, для TV приставок - <br>&gt; кому-то mpeg1, кому-то mpeg2, 4, dvb, vcd...<br>&gt; --- <br>&gt; SSH спрятать. Вешаешь sshd на порт 51515, <br>&gt; в /etc/services прописываешь: vAwPcVYjFj0jUje63CVV1FWdGLXEwNPv34Eq20CAMZQ 51515/tcp <br><br>Мой коммент потерли, ну да ладно. Ну так первое делается с помощью iptables + iproute2, а второе решается строчкой в Port 2222 в конфиге /etc/ssh/sshd_config<br>Так что нахрена нужен этот дырявый костыль, мне по-прежнему не ясно.<br><br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#4 Thu, 10 May 2012 10:17:37 GMT &gt; А конкретный пример привести? Да по русски?<br><br>Ну например раскидывание бродкаста по типам, для TV приставок - <br>кому-то mpeg1, кому-то mpeg2, 4, dvb, vcd...<br><br>---<br><br>SSH спрятать. Вешаешь sshd на порт 51515, <br>в /etc/services прописываешь: vAwPcVYjFj0jUje63CVV1FWdGLXEwNPv34Eq20CAMZQ 51515/tcp<br> https://slinkov.ru/openforum/vsluhforumID3/84476.html#3 Thu, 10 May 2012 10:11:20 GMT А конкретный пример привести? Да по русски?<br>