2.3.4.3.3. Opciones de vinculación y redirección
Los archivos de configuración de servicios para
xinetd
soportan la vinculación del servicio a una dirección IP y las solicitudes de entrada de redirección para ese servicio a otra dirección IP, nombre de host o puerto.
La vinculación se controla con la opción
bind
en los archivos de configuración específicos del servicio y enlaza al servicio a una dirección IP en el sistema. Cuando se configura, la opción bind
únicamente permite solicitudes para acceder al servicio a la dirección IP correcta. Puede usar este método para vincular diferentes servicios a diversas interfaces de red con base en los requisitos.
Esto es bastante útil en los sistemas con múltiples adaptadores de red o con múltiples direcciones IP. En dichos sistemas, los servicios que no son seguros (como por ejemplo, Telnet), se pueden configurar para escuchar únicamente a la interfaz que está conectada a una red privada y no a la interfaz conectada a la Internet.
La opción
redirect
acepta una dirección IP o nombre de host seguido de un número de puerto. Esta opción configura el servicio para redirigir las solicitudes para este servicio a un host especificado o número de puerto. Esta funcionalidad puede utilizarse para señalar las diferentes direcciones IP en la misma máquina, cambiar la solicitud a un sistema y número de puerto totalmente diferentes o alguna combinación de estas opciones. Un usuario que se conecte a un servicio en un sistema puede por lo tanto ser redirigido a otro sistema sin interrupción.
El demonio
xinetd
puede realizar esta redirección al generar un proceso que permanezca vivo para la duración de la conexión entre el cliente que solicita la máquina y el host que proporciona el servicio, al transferir los datos entre los dos sistemas.
Las ventajas de las opciones de
bind
y redirect
son evidentes cuando se utilizan juntas. Al vincular un servicio a una dirección IP particular en un sistema y luego redirigir las solicitudes para este servicio a una segunda máquina que únicamente la primera máquina puede ver, se puede utilizar un sistema interno para proporcionar servicios a una red totalmente diferente. También estas opciones sirven para limitar la exposición de un determinado servicio en un equipo de host múltiple a una dirección IP conocida, como también para redirigir las solicitudes para ese servicio a otra máquina especialmente configurada con ese propósito.
Por ejemplo, considere un sistema que se utilice como cortafuegos con esta configuración para el servicio de Telnet:
service telnet { socket_type = stream wait = no server = /usr/kerberos/sbin/telnetd log_on_success += DURATION USERID log_on_failure += USERID bind = 123.123.123.123 redirect = 10.0.1.13 23 }
Las opciones
bind
y redirect
en este archivo garantizan que el servicio de Telnet en la máquina esté asociado a una dirección IP externa (123.123.123.123
), la que se encarga de la Internet. Además, las solicitudes al servicio de Telnet enviadas a 123.123.123.123
se redirigen a través de un segundo adaptador de red a una dirección IP interna (10.0.1.13
) que únicamente el cortafuegos puede acceder. Luego, el cortafuegos envía la comunicación entre los dos sistemas y el sistema que se conecta piensa que está conectado a 123.123.123.123
cuando en realidad está conectado a una máquina diferente.
Esta funcionalidad es bastante útil para usuarios con conexiones de banda ancha y una sola dirección IP fija. Cuando se utiliza la Traducción de direcciones de red (NAT), los sistemas detrás de la máquina de puerta de enlace, que solamente utilizan las direcciones IP internas, no están disponibles desde fuera del sistema de puerta de enlace. Sin embargo, cuando algunos sistemas están controlados por las opciones
bind
y redirect
, la máquina de puerta de enlace puede actuar como un proxy entre los sistemas externos y la máquina interna configurada para proporcionar el servicio. Además, las diversas opciones de registro y control de acceso xinetd
están disponibles como protección adicional.\n