home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 920108-01 < prev    next >
Encoding:
Text File  |  1992-01-26  |  4.4 KB  |  204 lines
  1. Message-Id: <9201082256.AA11009@tictac.cert.sei.cmu.edu>
  2. Date: Wed, 8 Jan 92 17:53:46 EST
  3. To: cert-tools@cert.sei.cmu.edu
  4. From: John Sechrest <sechrest@frisby.CS.ORST.EDU>
  5. Subject: Re: Modified inetd 
  6.  
  7. --------
  8.  
  9. CERT Tools <cert-tools-request@cert.sei.cmu.edu> writes:
  10.  
  11.   > We are considering modifying inetd to restrict connections by various
  12.   > means (at least address and network, perhaps more).  Has anybody
  13.   > already done this?  Does anybody have any opinion as to why this is a
  14.   > really bad idea?  And, god forbide, does anybody think this is a good
  15.   > idea and have sugestions as to how you would like to see it work?
  16.  
  17.   > Dudley Irish
  18.  
  19. Dudley, 
  20.  
  21. Here is a README file from a program called in.gated that was done
  22. at ogi. I think it does what you want. Talk to john about getting it.
  23.  
  24.  
  25. Readme for in.gate version 1 beta patchlevel 0
  26.  
  27.  
  28. How To Install
  29.  
  30.     1) Edit the Makefile and set config options as needed.
  31.  
  32.     2) Run make.
  33.  
  34.     3) Create an in.gate.conf file for your site.  See top
  35.        of example in.gate.conf file and man-page for
  36.        format of in.gate.conf.
  37.  
  38.     4) Do make install.
  39.  
  40.     5) Copy your sites in.gate.conf file to where CONFIG
  41.        in the Makefile points.
  42.  
  43.     6) Edit inetd.conf and add in.gate to the services you want.
  44.  
  45.     7) Have inetd reload inetd.conf
  46.  
  47.     8) And now if everything went well in.gate should be
  48.        working.  I would do some testing.
  49.  
  50.  
  51. Notes
  52.     Changes made to in.gate.conf take affect right away, you
  53.     don't have to reload inetd.
  54.  
  55.  
  56.     John Pochmara
  57.     pochmara@cse.ogi.edu
  58.  
  59.  
  60. .TH IN.GATE 8 "16 August 1991"
  61. .SH NAME
  62. _PROG_ \- security gate for inetd
  63. .SH SYNOPSIS
  64. .B _PROG_ server-program server-arguments
  65. .SH DESCRIPTION
  66. .B _PROG_
  67. allows control over which hosts are allowed to 
  68. use services provided from 
  69. .BR inetd(8C).
  70. .LP
  71. .B _PROG_
  72. works by sitting between 
  73. .BR inetd(8C)
  74. and the server programs.
  75. .BR inetd(8C)
  76. starts 
  77. .B _PROG_
  78. which then checks to see if the requesting host has permissions
  79. to use the service.  If the host
  80. does have permissions then 
  81. .B _PROG_ 
  82. starts up the requested server, otherwise 
  83. .B _PROG_
  84. reports
  85. .I `Access denied'
  86. to the requesting host and exits.
  87. .LP
  88. A
  89. .BR syslog(8)
  90. entry is made for every request consisting of the 
  91. host IP address who requested
  92. the service, the service requested, and whether or not
  93. access was granted. 
  94. .LP
  95. The access list for
  96. .B _PROG_
  97. is stored in
  98. .B _CONFIG_ .
  99. .SH CONFIG FILE
  100. The access list for
  101. .B _PROG_
  102. consists of lines of the from:
  103. .IP
  104. .I
  105. ip-addr\ \ \ service-name\ \ \ access-status\ \ \ times
  106. .LP
  107. Fields can be separated by either spaces or
  108. .SM TAB
  109. characters.  Blank lines and lines starting with a
  110. .RB ` # '
  111. are ignored. 
  112. .B _CONFIG_
  113. is searched linearly for host matching and the first 
  114. match found is the one used.
  115. If an entry in 
  116. .B _CONFIG_
  117. does match the host then access is granted.
  118. .TP 20
  119. .I ip-addr
  120. is the IP address in dot notation of the host the
  121. current line applies to.  The IP address can contain
  122. .RB ` * '
  123. as one or more of the octets in the IP address. This
  124. matches all numbers for that octet.
  125. .TP
  126. .I service-name
  127. is the service for which the current config line applies.
  128. .TP
  129. .I access-status
  130. is either
  131. .I yes
  132. or
  133. .I no .
  134. If set to
  135. .I yes
  136. then 
  137. .I ip-addr
  138. is allowed to use the service otherwise access is denied.
  139. .TP
  140. .I times
  141. is a optional comma separated list of times in which access is granted.
  142. This field only applies if 
  143. .I access-status
  144. is 
  145. .I yes .
  146. Times are in 24 hour clock.
  147. .SH EXAMPLE CONFIG
  148. .LP
  149. To allow telnet access to any host 
  150. on network 123.45.0.0 you would use:
  151. .RS 10
  152. 123.45.*.*\ \ \ in.telnet \ \ yes
  153. .RE
  154. .LP
  155. To disable rsh for host 92.33.1.2 use:
  156. .RS 10
  157. 92.333.1.2\ \ \ in.rshelld\ \ \ \ no
  158. .RE
  159. .LP
  160. Allow finger use by network 45.678.0.0
  161. between 8am and 5pm.
  162. .RS 10
  163. 45.678.*.*\ \ \ in.fingerd\ \ \ \ yes\ \ \ 08:00-17:00
  164. .RE
  165. .LP
  166. To limit telnet access to 9am-11am and 2pm-4pm
  167. use:
  168. .RS 5
  169. *.*.*.*\ \ \ \ \ \ in.telnetd\ \ \ yes\ \ \ 09:00-11:00,14:00-16:00
  170. .RE
  171. .LP
  172. To limit use of rlogin to 34.56.3.12
  173. use:
  174. .RS 10
  175. 34.56.3.12\ \ \ in.rlogind\ \ \ \ yes
  176. *.*.*.*\ \ \ \   \ \ in.rlogind\ \ \ no
  177. .RE
  178. .SH FILES
  179. .B _PATH_
  180. .br
  181. .B _CONFIG_
  182. .SH "SEE ALSO"
  183. inetd (8C)
  184. .br
  185. inetd.conf (5)
  186. .SH AUTHOR
  187. John Pochmara <pochmara@cse.ogi.edu>
  188. .LP
  189. .SH BUGS
  190. The
  191. .I times
  192. option has not been tested completely.  Does not work for RPC based
  193. services.
  194.  
  195. -----
  196. John Sechrest       .        Internet: sechrest@cs.orst.edu
  197. Lab Coordinator      .           
  198. Computer Science Dept  .          UUCP:      hplabs!hp-pcd!orstcs!sechrest
  199. Oregon State University   .
  200. Corvallis,Oregon 97331        . 
  201. (503) 737-3273                       .
  202.  
  203.  
  204.