tcpd, inetd/rinetd и iptables
обычное и ожидаемое поведение. qemu/kvm выделяет максимальное количество оперативной памяти до тех пор, пока не будет запущена служба всплывающих окон. после этого любая оперативная память, потребляемая службой воздушного шара, освобождается (от хоста pov)
Традиционная настройка заключается в использовании inetdдля открытия прослушиваемых сокетов, аналогично тому, что systemd делает с активацией сокетов сейчас, всего за тридцать лет до этого. inetdбезоговорочно запускает демон при установлении соединения.
Для некоторого элементарного контроля доступа вы должны настроить inetdдля запуска tcpdвместо реального сервера. Эта программа проверит, разрешено ли соединение в соответствии с файлами hosts.allowи hosts.deny, и затем выполнит реальную службу, если это так.
Это значительно старше, чем iptablesили аналогичные решения на основе хоста -, поэтому оно также будет работать на стеках, которые вообще не имеют брандмауэра, таких как AmiTCP или Miami на AmigaOS.
Другим преимуществом является то, что настройка проверки исходного адреса является частью запуска службы, поэтому после ее настройки невозможно случайно открыть доступ к службам, сбросив правила брандмауэра.
Недостаток в том, что порт изначально открыт, поэтому сканирование сети покажет его, а соединение сразу закрывается после его установления.
Файлы hosts.allowи hosts.denyбольше не поставляются, так как «отсутствующие» файлы означают «разрешить все подключения», поэтому они сами по себе формируют правильную конфигурацию, и любой, кто все еще их использует, вероятно, знает, что они делают..
Обратите внимание, что при использовании tcpdдля управления доступом вы теряете преимущества опции waitв inetd, где служба запускается с помощью сокета прослушивателя и отвечает за принятие дальнейших подключений после запуска (т. е. у вас есть только один экземпляр для нескольких параллельных подключений ).
Нет udpd, так как невозможно проверить источник UDP-пакетов.