tcp_wrappers防火墙介绍

一 查看系统是否安装了tcp_wrappers

如果有上面类似输出，表示已经安装了tcp_wrappers模块。如果没有显示，可能没有安装，就需要通过yum或者rpm工具进行安装。

 

二 tcp_wrappers防火墙的局限性

系统中的某个服务是否使用了tcp_wrappers防火墙，取决于服务是否应用了libwrapped库文件，如果应用了就可以使用tcp_wrappers防火墙，系统中默认一些服务（如sshd、portmap、sendmail、xinetd、vsftpd、tcpd等）都可以使用tcp_wrappers防火墙。

 

三 tcp_wrappers设定规则

tcp_wrappers的防火墙实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的，首先看一下设定的格式。

service:host(s) [:action]

• service:代表服务名，如sshd、vsftpd、sendmail等。
• host(s):代表主机名或者IP地址，可以有多个，如192.168.60.78、www.cakin24.net
• action:代表动作，符合条件后所采取的动作。

几个关键字如下所示。

• ALL：代表所有的服务或者所有的IP。
• ALL EXCEPT：所有服务或者所有IP（除去指定的）。

一般规则：

Linux会首先判断/etc/hosts.allow这个文件。如果远程登录的计算机满足文件/etc/hosts.allow设定规则，就不会使用/etc/hosts.deny文件了。相反，如果不满足/etc/hosts.allow设定规则，就会使用/etc/hosts.deny文件了。如果满足hosts.deny规则，此时主机就被限制为不可访问Linux服务器。如果也不满足hosts.deny的设定，此主机默认是可以访问Linux服务器的。

例如

ALL:ALL EXCEPT 192.168.0.104表示除了192.168.0.104这台机器之外，任何机器执行所有服务时或被允许或被拒绝。

 

四 应用

局域网上一台Linux服务器，实现的目标是：仅仅允许192.168.0.103通过SSH服务远程登录系统，设置如下：

在/etc/hosts.allow文件中加入下面规则：

sshd:192.168.0.103

在/etc/hosts.deny文件中加入下面规则：

sshd:all