tcp_wrapper就是在tcp層中加一個子層,實現訪問過濾的功能,tcp_wrapper是一個有過濾功能的庫文件提供
的,lib_wrap.so.o,也就是說凡是依賴這個庫文件的進程均可以被實施過濾,(可以用ldd查看)如ssh,
ftp,telnet,但定義規則需要管理員設定
tcp_wrapper的配置文件就是我們經常看到的/etc/hosts.allow,/etc/hosts.deny
現在說一下系統檢查的次序,當一個主機訪問時,
tcp_wrapper:首先檢查allow文件,如果有明確的規定允許,則允許
如果沒有明確的規定,則繼續讀deny文件
如果deny文件中有明確的拒絕,則拒絕
如果deny也沒有具體的規定,則採用默認的,即允許訪問
例子:如果你只想允許192.168.0.254訪問
你得在allow中寫上 192.168.0.254
在deny中寫上deny all
如果你想之拒絕一些主機,應該在allow中不寫,然後再deny中拒絕那些主機
現在說一下規則的語法格式
daemon-list :client-list [:options]
同時控制多個進程
daemon1 ,daemon2 :client1,client2
daemon-list@host:client 可以控制讓進程通過某塊網卡訪問
凡是有xinetd控制的非獨立的進程,重啓服務時均是service xinetd restart 如:telnet
下面以telnet爲力舉一些例子 是隻讓192.168.0.254主機訪問
還可以結合搜一些選項 例如記錄日誌的
in.telnetd :192.168.0.0/255.255.255.0 :respawn echo “ `date` %u from %h attemp %p” >>/var/log/log