TCP Wrappers

TCP Wrappers简介

TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序，它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。
换句话说，Linux系统中其实有两个层面的防火墙，第一种是前面讲到的基于TCP/IP协议的流量过滤工具，而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙，从而在更高层面保护了Linux系统的安全运行。

TCP Wrappers服务的防火墙策略由两个控制列表文件所控制，用户可以编辑允许控制列表文件来放行对服务的请求流量，也可以编辑拒绝控制列表文件来阻止对服务的请求流量。
控制列表文件修改后会立即生效，系统将会先检查允许控制列表文件（/etc/hosts.allow），如果匹配到相应的允许策略则放行流量；
如果没有匹配，则去进一步匹配拒绝控制列表文件（/etc/hosts.deny），若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到，则默认放行流量。

TCP Wrappers服务的控制列表文件中常用的参数

客户端类型

示例

满足示例的客户端列表

单一主机

192.168.1.100

IP地址为192.168.1.100的主机

指定网段

192.168.1.

IP段为192.168.1.0/24的主机

指定网段

192.168.1.0/255.255.255.0

IP段为192.168.1.0/24的主机

指定DNS后缀

.will-say.com

所有DNS后缀为.linuxprobe.com的主机

指定主机名称

www.will-say.com

主机名称为www.linuxprobe.com的主机

指定所有客户端

ALL

所有主机全部包括在内

配置策略规则

在配置TCP Wrappers服务时需要遵循两个原则：

1、编写拒绝策略规则时，填写的是服务名称，而非协议名称；
2、建议先编写拒绝策略规则，再编写允许策略规则，以便直观地看到相应的效果。

编写拒绝策略规则文件，禁止访问本机sshd服务的所有流量

vim /etc/hosts.deny

sshd:*
# 追加上方信息至文件尾部

编写允许策略规则文件，放行源自192.168.1.0/24网段，访问本机sshd服务的所有流量

vim /etc/hosts.allow

sshd:192.168.1.
# 追加上方信息至文件尾部

PreviousFirewalld NextApache

Last updated 1 year ago

hashtagTCP Wrappers简介

hashtagTCP Wrappers服务的控制列表文件中常用的参数

hashtag配置策略规则

hashtag在配置TCP Wrappers服务时需要遵循两个原则：

hashtag编写拒绝策略规则文件，禁止访问本机sshd服务的所有流量

hashtag编写允许策略规则文件，放行源自192.168.1.0/24网段，访问本机sshd服务的所有流量