Discussion:
Problem z tcpd (ssh/ftp)
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Slawomir Stanczak
2006-10-23 07:17:00 UTC
Permalink
Witam,

Wybaczcie jeśli problem jest banalny, ale nie mam pojęcia jak mam
sobie z nim poradzić.

Mam dziwaczny problem z tcp_wrappers 7.6. Działa tu u mnie od lat
i teraz nagle zaczęły się problemy.

Problem polega na odrzucaniu połączeń z niektórych sieci. Przykład:
W hosts.allow mam:

sshd: pl

Wczoraj np. gość dzwoni do mnie i twierdzi że od kilku dni nie może się
dostać na mój serwer ze swojego komputera. W logach mam poniższe info:

Oct 22 14:29:14 med sshd[23788]: [ID 639792 auth.error] warning:
/etc/hosts.allow, line 5: can't verify hostname:
gethostbyname(nat-sr-200-28.globalconnect.pl) failed
Oct 22 14:29:14 med sshd[23788]: [ID 947420 auth.warning] refused
connect from 62.69.200.28

Zabawne jest to że jeszcze kilka dni temu mu to działało, a na serwerze
NIC nie zostało zmienione.

W tym samym czasie ja sam mogę się bez problemu dostać poprzez ssh
przez zwykłe połącznie modemowe TPSA. On jak połaczy się przez modem
(TPSA) też nie ma problemu.

W googlach znalazłem coś takiego (informacja sprzed całych wieków):

"The problem turned out to be with tcpd (TCP Wrappers). After
recompiling without "-DALWAYS_HOSTNAME" ftp and telnet connections
worked normally."

No i ok. Problem w tym jak mam rekompilować tcpd ? Źródła tcp_wrappers
(nie zmienione od chyba 1997) nie zawierają configure, tylko gotowy
wygenerowany Makefile.

Jak więc mam utworzyć nowy Makefile jeśli nie ma w źródłach pliku
configure ?

Dzięki za ewentualne info.

pozdrawiam
Sławek
Piotr Smerda
2006-10-23 07:31:55 UTC
Permalink
Post by Slawomir Stanczak
Witam,
Wybaczcie jeśli problem jest banalny, ale nie mam pojęcia jak mam
sobie z nim poradzić.
Mam dziwaczny problem z tcp_wrappers 7.6. Działa tu u mnie od lat
i teraz nagle zaczęły się problemy.
sshd: pl
Wczoraj np. gość dzwoni do mnie i twierdzi że od kilku dni nie może się
gethostbyname(nat-sr-200-28.globalconnect.pl) failed
Oct 22 14:29:14 med sshd[23788]: [ID 947420 auth.warning] refused
connect from 62.69.200.28
Zabawne jest to że jeszcze kilka dni temu mu to działało, a na serwerze
NIC nie zostało zmienione.
W tym samym czasie ja sam mogę się bez problemu dostać poprzez ssh
przez zwykłe połącznie modemowe TPSA. On jak połaczy się przez modem
(TPSA) też nie ma problemu.
"The problem turned out to be with tcpd (TCP Wrappers). After
recompiling without "-DALWAYS_HOSTNAME" ftp and telnet connections
worked normally."
No i ok. Problem w tym jak mam rekompilować tcpd ? Źródła tcp_wrappers
(nie zmienione od chyba 1997) nie zawierają configure, tylko gotowy
wygenerowany Makefile.
Jak więc mam utworzyć nowy Makefile jeśli nie ma w źródłach pliku
configure ?
Dzięki za ewentualne info.
pozdrawiam
Sławek
A tak spytam niedyskretnie - jaki jest problem by w parametrach gcc/cc/g++
w Makefile dodać dyrektywę -DALWAYS_HOSTNAME ?
--
Pozdrawiam
Piotrek
Slawomir Stanczak
2006-10-23 07:51:00 UTC
Permalink
Post by Piotr Smerda
A tak spytam niedyskretnie - jaki jest problem by w parametrach gcc/cc/g++
w Makefile dodać dyrektywę -DALWAYS_HOSTNAME ?
# Optional: turning off hostname lookups
#
# By default, the software always attempts to look up the client
# hostname. With selective hostname lookups, the client hostname
# lookup is postponed until the name is required by an access control
# rule or by a %letter expansion.
#
# In order to perform selective hostname lookups, disable paranoid
# mode (see previous section) and comment out the following definition.

HOSTNAME= -DALWAYS_HOSTNAME

Ta dyrektywa jest dodana, ale to nic nie zmienia.

Sam już nie wiem. Być może chodzi o dostęp do:

in.comsat który mam ograniczony do localhost

Szczerze mowię że się pogubiłem i nie mam pojęcia o co w tym wypadku
chodzi.

p. Sławek
Grzesiek
2006-10-24 06:37:36 UTC
Permalink
Hej Piotr,
Post by Piotr Smerda
Post by Slawomir Stanczak
Witam,
Wybaczcie jeśli problem jest banalny, ale nie mam pojęcia jak mam
sobie z nim poradzić.
Mam dziwaczny problem z tcp_wrappers 7.6. Działa tu u mnie od lat
i teraz nagle zaczęły się problemy.
sshd: pl
Wczoraj np. gość dzwoni do mnie i twierdzi że od kilku dni nie może się
gethostbyname(nat-sr-200-28.globalconnect.pl) failed
Oct 22 14:29:14 med sshd[23788]: [ID 947420 auth.warning] refused
connect from 62.69.200.28
Zabawne jest to że jeszcze kilka dni temu mu to działało, a na serwerze
NIC nie zostało zmienione.
W tym samym czasie ja sam mogę się bez problemu dostać poprzez ssh
przez zwykłe połącznie modemowe TPSA. On jak połaczy się przez modem
(TPSA) też nie ma problemu.
"The problem turned out to be with tcpd (TCP Wrappers). After
recompiling without "-DALWAYS_HOSTNAME" ftp and telnet connections
worked normally."
No i ok. Problem w tym jak mam rekompilować tcpd ? Źródła tcp_wrappers
(nie zmienione od chyba 1997) nie zawierają configure, tylko gotowy
wygenerowany Makefile.
Jak więc mam utworzyć nowy Makefile jeśli nie ma w źródłach pliku
configure ?
Dzięki za ewentualne info.
pozdrawiam
Sławek
A tak spytam niedyskretnie - jaki jest problem by w parametrach gcc/cc/g++
w Makefile dodać dyrektywę -DALWAYS_HOSTNAME ?
O ile pamiętam ta opcja chyba jest domyślnie ustawiona w make i aby ją wyłączyć użyj w hosts.allow:
usługa ip EXCEPT PARANOID; np: imapd : ALL EXCEPT PARANOID. Wtedy nie sprawdza Rev-a w DNSach.
--
Pozdrawiam.
Grzesiek; scss (at) poczta.onet.pl
Jakub Wartak
2006-10-23 08:35:42 UTC
Permalink
Post by Slawomir Stanczak
nat-sr-200-28.globalconnect.pl
To nie Twoj problem:

zefir:~# host 62.69.200.28
28.200.69.62.in-addr.arpa domain name pointer
nat-sr-200-28.globalconnect.pl.

zefir:~# host nat-sr-200-28.globalconnect.pl
Host nat-sr-200-28.globalconnect.pl not found: 3(NXDOMAIN)

Czyli resolvuje sie na cos czego nie ma, u Ciebie jest wszystko OK, pogadaj
lepiej ze stuffem IT/adminem DNSow globalconnect/ew wytlumacz gosciowi
ktory sie laczy zeby sobie to sam rozwiazal.
--
Jakub Wartak
http://vnull.pcnet.com.pl/
Piotr KUCHARSKI
2006-10-23 13:47:55 UTC
Permalink
Post by Slawomir Stanczak
Wybaczcie jeśli problem jest banalny, ale nie mam pojęcia jak mam
sobie z nim poradzić.
Wczoraj np. gość dzwoni do mnie i twierdzi że od kilku dni nie może się
gethostbyname(nat-sr-200-28.globalconnect.pl) failed
No ale to jakby całkiem inny problem? Po prostu jego nazwa nie jest
poprawna w obie strony, więc jest (i słusznie) odrzucana.

p.
--
http://freedns.sgh.waw.pl/ -- bezpłatny DNS.
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów.
http://42.pl/u/ -- skracacz URL-i.
Emil Grochocki
2006-10-23 20:00:28 UTC
Permalink
A nie mozna tego zalatwic po prostu firewallem ?
Piotr KUCHARSKI
2006-10-24 10:14:17 UTC
Permalink
Post by Emil Grochocki
A nie mozna tego zalatwic po prostu firewallem ?
No... może być problematyczne. Firewall zwykle operuje na IP,
nie na nazwach domenowych, więc wpuszczenie hostów o nazwach
kończących się na *.pl (w dodatku z poprawnym reversem!) może
być na firewallu problematyczne. Oczywiście może być tak, że
autorowi wątku wcale nie chodziło o *.pl, a tylko np. o polskie
klasy adresowe, niezależnie od nazwy -- ale to już będą inne
warunki zadania. :)

p.
--
http://freedns.sgh.waw.pl/ -- bezpłatny DNS.
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów.
http://42.pl/u/ -- skracacz URL-i.
Slawomir Stanczak
2006-10-24 06:00:47 UTC
Permalink
Post by Piotr KUCHARSKI
No ale to jakby całkiem inny problem? Po prostu jego nazwa nie jest
poprawna w obie strony, więc jest (i słusznie) odrzucana.
p.
Cześć,

Admin z tej domeny zmieniał ten DNS kilka razy. Raz wpisy były
poprawne raz nie. W końcu sam się pogubiłem. Napisałem na grupę
bo nie mogłem zrozumieć dlaczego nie można połączyć się używając
samego IP. Dopiero po waszych wpisach dotarło do mnie że w tcpd
mam wpis ".pl", więc tak czy siak serwer musiał się odwołać
do mapowania nazwy na IP.

Dzięki za pomoc

p. Sławek
Loading...