职起网 - Powered by Discuz!

9.2 TCP Wrappers

文档创建者：职起网

浏览次数：532

最后更新：2023-10-23

Linux
Linux 私房菜:	服务器 » 二.主机的简易防火措施 » 9.防火墙与 NAT 服务器

在进入主题之前，我们先来玩一个简单的防火墙机制，那就是 TCP Wrappers 这玩意儿。如同前面说的， TCP wrappers 是透过客户端想要链接的程序文件名，然后分析客户端的 IP ，看看是否需要放行。那么哪些程序支持 TCP wrappers 的功能？这个 TCP wrappers 又该如何设定？我们这里先简单的谈谈吧！(这个小节仅是简单的介绍过 TCP wrappers ，更多相关功能请参考基础学习篇的第十八章内容喔！)

1、哪些服务有支持
说穿了， TCP wrappers 就是透过 /etc/hosts.allow, /etc/hosts.deny 这两个宝贝蛋来管理的一个类似防火墙的机制，但并非所有的软件都可以透过这两个档案来控管，只有底下的软件才能够透过这两个档案来管理防火墙规则，分别是：

由 super daemon (xinetd) 所管理的服务；
有支援 libwrap.so 模块的服务。

经由 xinetd 管理的服务还好理解，就是配置文件在 /etc/xinetd.d/ 里面的服务就是 xinetd 所管理的啊！那么什么是有支持 libwrap.so 模块呢？就让我们来进行底下的例题，你就比较容易明白啰：

2、/etc/hosts.{allow|deny} 的设定方式
那如何透过这两个档案来抵挡有问题的 IP 来源呢？这两个档案的语法都一样，很简单的：

[AppleScript] ��ı��鿴 ��ƴ��

<service(program_name)> : <IP, domain, hostname> 
<服务   (亦即程序名称)> : <IP 或领域 或主机名>
# 上头的 > < 是不存在于配置文件中的喔！

我们知道防火墙的规则都是有顺序的，那这两个档案与规则的顺序优先是怎样呢？基本上是这样的：

先以 /etc/hosts.allow 为优先比对，该规则符合就予以放行；
再以 /etc/hosts.deny 比对，规则符合就予以抵挡；
若不在这两个档案内，亦即规则都不符合，最终则予以放行。

我们拿 rsync 这个 xinetd 管理的服务来进行说明好了，请参考底下的例题吧：

上面的例题有几个重点，首先， tcp wrappers 理论上不支持 192.168.1.0/24 这种透过 bit 数值来定义的网域，只支持 netmask 的地址显示方式。另外，如果有多个网域或者是单一来源，可以透过空格来累加。如果想要写成多行呢？也可以啊！多写几行『 kshd: IP 』的方式也可以，不必要将所有数据集中在一行啦！因为 tcp wrappers 也是一条一条规则比对嘛！
基本上，你只要理解这些数据即可！因为绝大部分的时刻，我们都会建议使用底下介绍的 Netfilter 的机制来抵挡封包。那让我们准备开始来玩玩 iptables 封包过滤防火墙吧！

使用道具举报

您还未登录

登录后即可体验更多功能