一.TcpWrapper的定义
任何以xinetd管理的服务都可以通过TcpWrapper来设置防火墙。简单地说,就是针对源IP或域进行允许或拒绝的设置,以决定该连接是否能够成功实现连接。
通过名称我们可以知道,这个软件本身的功能就是分析TCP网络数据数据包,而TCP数据包的文件头主要记录了来源与目主机的IP与port,所以我们可以管控的一个是源IP与整个网段的IP网段,另一个是port也就是服务。
二.检验可用性
基本上只要受到xinetd管理的服务,一般情况下就能够用TcpWrapper来管控。对于不是很清楚的服务,我们可以进行这样一个简单的处理:
#ldd `which sshd ` | grep wrap
可以看出ssh服务确实添加了wrapper模块。
三.修改配置文件
两个配置文件 /etc/hosts.allow 、/etc/hosts.deny 这两个文件的关系为allow文件优先,若分析到的没有记录在allow文件当中,则以deny文件来判断。
配置文件的书写格式为:
daemon list : client list [:option[:option]]
例如:telnet
in.telnetd(进程名字) : 10.0.0.66 : spawn echo 'date' %c to %s >/var/log/wra.log
vim
/etc/hosts.allow
vim /etc/hosts.deny
两个特殊字符的含义:
spawn 在服务器端产上信息 ,写allow允许,写deny拒绝。
twist 在客户端产生信息,写哪都是拒绝。