TCPWrappers是RHEL7系统中默认启用的一款流量监控程序。
TCPWrappers服务的防火墙策略由两个控制列表文件所控制。用户可以编辑允许控制列表文件来放行对服务的请求流量, 也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配到,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。
TCPWrappers服务的控制列表文件中常用的参数
单一主机
192.168.10.10
IP地址为192.168.10.10的主机
指定网段
192.168.10.
IP段为192.168.10.0/24的主机
192.168.10.0/255.255.255.0
指定DNS后缀
.linuxprobe.com
所有DNS后缀为.linuxprobe.com的主机
指定主机名称
www.linuxprobe.com
主机名称为www.linuxprobe.com的主机
指定所有客户端
ALL
所有主机全部包括在内
在配置TCPWrappers服务时需要遵循两个原则:
编写拒绝策略规则时,填写的是服务名称,而非协议名称;
建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。
示例1:
编写拒绝策略规则文件,禁止访问本机的sshd访问的所有流量
# vim /etc/hosts.deny sshd:*
在允许策略规则文件中添加一条规则,使其放行源自192.168.10.0/24网段访问本机sshd服务的所有流量
# vim /etc/hosts.deny sshd:192.168.10.
最后更新于3年前