tcpwrapper防火牆

原創 feilong0663 2020-02-21 10:27
tcpwrappers(防火牆) --過濾TCP包頭(/usr/sbin/tcpd)

控制文件:
規則

匹配順序: tcp-->tcpwrappers-->hosts.allow--> hosts.deny,默認情況下這兩個文件是空的,規則馬上寫馬上生效.
1、如果在hosts.allow能夠匹配到相應的規則,則允許,匹配到此結束。
2、如果在hosts.allow匹配不到相應規則,接下來匹配hosts.deny文件,如果匹配到則拒絕,匹配到此結束。
3、如果在hosts.allow和hosts.deny中都無法匹配到相應規則,則允許。


防火牆的規則設計思路:先在host.deny先拒絕所有,然後再hosts.allow逐個放開。


tcpwrappers過濾的依據:服務名字,其實就是服務對應二進制文件的文件名


vsftpd/httpd/postfix/samba/nfs/sshd/squid/xinetd


vsftpd: /usr/sbin/vsftpd
sshd: /usr/sbin/sshd
portmap: /sbin/portmap  --> rpcbind
xinetd: /usr/sbin/xinetd


查看vsftpd是否支持tcpwrappers
client-->vsftpd-(libwrap.so)->tcpwrappers








查看某個服務支持tcpwrappers過濾:
# rpm -ql tcp_wrappers |grep '\<libwrap.so\>'
/usr/lib/libwrap.so


查詢xinetd服務是否支持tcpwrappers的過濾:
1.
# ldd `which xinetd `|grep wra
        libwrap.so.0 => /lib/libwrap.so.0 (0x00110000)
# ldd `which vsftpd` |grep wra
        libwrap.so.0 => /lib/libwrap.so.0 (0x003e1000)
2.strings
# strings /sbin/portmap |grep 'hosts.*'
/etc/hosts.allow
/etc/hosts.deny
------------------
實例1:
# service vsftpd start
爲 vsftpd 啓動 vsftpd:                                    [確定]
# chkconfig krb5-telnet on
# service xinetd restart
停止 xinetd:                                              [確定]
啓動 xinetd:                                              [確定]
# netstat -tnlp |grep :21
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      2578/vsftpd         
# netstat -tnlp |grep :23
tcp        0      0 0.0.0.0:23                  0.0.0.0:*                   LISTEN      2635/xinetd         
------------
設置規則:
1.telnet只有192.168.0.254能訪問
2.vsftpd192.168.0.0/24都能訪問,除192.168.0.254
3.sshd 192.168.0.254,只要有登錄則發郵件告知管理員
4.本機能夠訪問這三個服務.




# vim /etc/hosts.deny 
vsftpd: ALL
telnetd: ALL
sshd:   ALL




# vim /etc/hosts.allow 
in.telnetd:        192.168.0.254
sshd:           192.168.0.254: spawn echo "login attempt from %c to %s" | mail -s "information about sshd login attempt" [email protected]
vsftpd:         192.168.0.0/255.255.255.0 EXCEPT 192.168.0.254
ALL:            LOCAL .baidu.com


spwan 執行命令
%c 客戶端地址
%s 服務器的地址
LOCAL 本地主機


hosts.allow和hosts.deny格式:
服務名字1, 服務名字2, ...: 客戶機地址 [:動作]


1、如何找出名字
2、客戶機地址:
ALL
network/mask 192.168.0.0/255.255.255.0 或 192.168.0.
127.
?
.uplooking.com *.uplooking.com
EXCEPT
3、動作:
ALLOW
DENY












*************************************************
[root@mail ]# vim /etc/hosts.deny 


vsftpd: ALL
in.telnetd: ALL
sshd:   ALL




[root@mail ]# vim /etc/hosts.allow 




in.telnetd: 192.168.0.254
vsftpd: 192.168.0.0/255.255.255.0 EXCEPT 192.168.0.254
sshd:   192.168.0.254: spawn echo "login attempt from %c to %s" | mail -s "information about sshd login attempt" [email protected]
ALL:    LOCAL, .baidu.com

feilong0663
發佈了23 篇原創文章 · 獲贊 1 · 訪問量 4萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

在客戶機自動掛載家目錄

1.mkdir /share/home/test1      mkdir /share/home/test2 2. cp /etc/skel/.ba

feilong0663 2020-07-02 11:57:06

samba文件服務器跨windwos 局域網

文件服務器 1.局域網文件服務器;samba  nfs    2. 互聯網的文件服務器  vsftpd 局域網文件服務器:samba 統一協議:sm

feilong0663 2020-07-02 11:56:55

vsftp服務器配置

FTP模式 ftp主動模式  21驗證握手   20數據傳輸 ftp被動模式  21驗證握手   1024-65535數據傳輸   ---默認FTP

feilong0663 2020-07-02 11:56:55

ubuntu 18.04 安裝與卸載desk桌面,wmware克隆,設置靜態ip

前言        由於筆者是用Ubuntu做服務器,desk 的UI很喫CPU和內存,資源最大化利用,卸載之。 1. 卸載 筆者的教程來源於Ubuntu官方的論壇,並自己實踐成功後,給出 卸載掉gnome-shell主程序 $sudo

fenglllle 2020-06-30 03:43:30

xshell 與 putty

一、Xshell 與 putty概念 Xshell是一個強大的安全終端模擬軟件,它支持SSH1, SSH2, 以及Microsoft Windows 平臺的TELNET 協議。Xshell 通過互聯網到遠程主機的安全連接以及它創新性的

efine_dxq 2020-06-22 01:11:46

vim如何顯示行號

efine_dxq 2020-02-23 22:51:52

保存退出vi編輯

efine_dxq 2020-02-23 22:51:52

Ubuntu 下安裝配置 Tomcat 7

efine_dxq 2020-02-23 22:51:52

ubuntu安裝java jdk及配置

efine_dxq 2020-02-23 22:51:52

Linux 環境下/etc/profile和/etc/profile.d 的區別和用法

efine_dxq 2020-02-23 22:51:52

Linux從一般用戶切換到root用戶

efine_dxq 2020-02-23 22:51:52

postfix服務 配置

feilong0663 2020-02-21 10:27:17

ssh 配置

feilong0663 2020-02-21 10:27:17

dhcp服務器

feilong0663 2020-02-21 10:27:17

mail 配置

feilong0663 2020-02-21 10:27:17