6. TCP Wrappers（简单防火墙）（6.7英寸是多少厘米）

6. TCP Wrappers（简单防火墙）（6.7英寸是多少厘米）

6.1  TCP Wrappers 简介

TCP_Wrappers是一个工作在第四层（传输层）的的安全工具，对有状态连接（TCP）的特定服务进行安全检测并实现访问控制，界定方式是凡是调用libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问，常见的程序有rpcbind、vsftpd、sshd，telnet。

判断方式：

1.   查看对应服务命令所在位置 which sshd

2.  查看指定命令执行时是否调用libwrap.so文件ldd /usr/sbin/sshd | grep libwrap.so

6.2  TCP Wrappers 工作原理

以ssh为例，每当有ssh的连接请求时，先读取系统管理员所设置的访问控制文件，符合要求，则会把这次连接原封不动的转给ssh进程，由ssh完成后续工作；如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供ssh服务。

1.优先查看hosts.allow,匹配即停止

2.允许个别，拒绝所有：hosts.allow文件添加允许的策略，hosts.deny文件添加all

3.拒绝个别，允许所有：hosts.allow文件为空，hosts.deny文件添加单个拒绝的策略

6.3  TCP Wrappers 的使用

TCP_Wrappers的使用主要是依靠两个配置文件/etc/hosts.allow, /etc/hosts.deny，以此实现访问控制，默认情况下，

/etc/hosts.allow，/etc/hosts.deny什么都没有添加，此时没有限制

配置文件编写规则：

service_list@host: client_list

service_list： 是程序（服务）的列表，可以是多个，多个时，使用，隔开 @host：设置允许或禁止他人从自己的哪个网口进入。这一项不写，就代表全部client_list：是访问者的地址，如果需要控制的用户较多，可以使用空格或，隔开格式如下：基于IP地址： 192.168.88.1 192.168.88. 基于主机名：atguigu.com .atguigu.com 较少用基于网络/掩码： 192.168.0.0/255.255.255.0 内置ACL：ALL(所有主机)、LOCAL(本地主机)

实验案例：

拒绝单个IP使用ssh远程连接：

配置文件：

hosts.allow：空着 hosts.deny：sshd:192.168.88.20

拒绝某一网段使用ssh远程连接：

hosts.allow：空着 hosts.deny：sshd:192.168.88.

仅允许某一IP使用ssh远程连接：

hosts.allow：sshd:192.168.88.20 hosts.deny：sshd:ALL

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。