2.3.4.3.3. Opções de Associação e Redirecionamento

Os arquivos de configuração do serviço para o xinetd suporta a associação do serviço a um endereço de IP e redireciona pedidos de entrada desse serviço para outro endereço IP, hostname ou porta.

A associação é controlada com o a opção bind nos arquivos de configuração de serviço específicos e liga o serviço a um endereço IP no sistema. Quando este é configurado, a opção bind somente permite pedidos ao endereço de IP correto para acessar o serviço. Você pode usar este método para associar diferentes serviços à interfaces de redes diferentes baseadas em requerimentos.

Isto é particularmente útil para sistemas com múltiplos adaptadores de rede ou com múltiplos endereços IP. Em tal sistema, serviços inseguros (por exemplo, Telnet), pode ser configurado para escutar somente à interface conectada à uma rede privada e não à interface conectada à internet.

A opção redirect aceita um endereço IP ou hostname seguido por um número de porta. Ela configura o serviço para redirecionar quaisquer pedidos para este serviço ao host e número de porta especificados. Este recurso pode ser usado para apontar para um outro número de porta no mesmo sistema, redirecionar o pedido para um endereço IP diferente na mesma máquina, deslocar o pedido para um sistema e número de porta totalmente diferentes, ou qualquer combinação destas opções. Um usuário conectando a um certo serviço em um sistema pode portanto ser reencaminhado a um outro sistema sem ruptura.

O daemon xinetd é capaz de realizar este redirecionamento reproduzindo um processo que permanece vivo pela duração da conexão entre a máquina cliente solicitante e o host que fornece o serviço, transferindo dados entre os dois sistemas.

As vantagens das opções bind e redirect são mais claramente evidentes quando elas são usadas em conjunto. Associando um serviço à um endereço IP determinado em um sistema e então redirecionar os pedidos para este serviço a uma segunda máquina que somente a primeira máquina pode ver, um sistema interno pode ser usado para fornecer serviços para uma rede totalmente diferente. Alternativamente, estas opções podem ser usadas para limitar a exposição de um determinado serviço em uma máquina multihome para endereços IP conhecidos, tanto quanto redireciona quaisquer pedidos para esse serviço para uma outra máquina especialmente configurada para este propósito.

Por exemplo, considere um sistema que é usado como um firewall com estas configurações para o serviço Telnet:

service telnet
{
	 socket_type		= stream
	 wait			= no
	 server			= /usr/kerberos/sbin/telnetd
	 log_on_success		+= DURATION USERID
	 log_on_failure		+= USERID
	 bind                    = 123.123.123.123
	 redirect                = 10.0.1.13 23
}

service telnet
{
	 socket_type		= stream
	 wait			= no
	 server			= /usr/kerberos/sbin/telnetd
	 log_on_success		+= DURATION USERID
	 log_on_failure		+= USERID
	 bind                    = 123.123.123.123
	 redirect                = 10.0.1.13 23
}

As opções bind e redirect neste arquivo garantem que o serviço Telnet nesta máquina é ligado a um endereço IP externo (123.123.123.123), o que está na internet. Além disso, qualquer pedido pelo serviço Telnet enviado ao 123.123.123.123 é redirecionado pelo segundo adaptador de rede para um endereço Ip interno (10.0.1.13) que somente o firewall e sistemas internos podem acessar. O firewall então envia a comunicação entre os dois sistemas e o sistema em conexão pensa que está conectado ao 123.123.123.123 quando na verdade está conectado a uma máquina diferente.

Este recurso é particularmente útil para usuários com conexões de banda larga e somente um endereço IP fixo. Quando usar o Network Address Translation (NAT), os sistemas por trás da máquina de gateway, que estão usando endereços de IP somente internos, não estão disponíveis fora do sistema de gateway. Entretanto, quando certos serviços controlados pelo xinetd são configurados com as opções bind e redirect, a máquina gateway pode agir como uma proxy entre sistemas do lado de fora e uma máquina interna particular configurada para fornecer o serviço. Além disso, os vários controles de acesso xinetd e opções de log estão também disponíveis para proteção adicional.