tcp_wrappers防火墙配置方法,供大家学习参考。
两个配置文件:/etc/hosts.allow和/etc/hosts.deny
格式:
service:host(s) [:action]
服务名 主机名(或多个) 动作,符合条件后所采取的动作
关键字:
ALL
ALL EXCEPT
如:
ALL:ALL EXCEPT 192.168.0.8除了这台机器,所有的执行所有服务时被允许或拒绝。
service代表服务名,就是使用ps -e看到的服务名。
host(s)形式:192.168.0.0 192.168.1. abc.com def.com
action的写法:
in.telnetd:ALL:spawn /bin/echo `data` %c %d >> /var/log/tcp_wrappers
表示在telnet请求时执行特定的命令,通常是向某个日志文件中写入一条信息。
spawn代表执行一个命令,%c、%d以及其它参数的用法可以使用man hosts.allow或man host.deny
tcp_wrappers防火墙的局限性:
某个服务是否可以使用tcp_wrappers防火墙,取决于该服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙。sendmail、sshd、tcpd、xinetd、gdm、portmap都可以使用。
实验:
禁止某人访问你的telnet服务
in.telnetd:192.168.1.4
允许某人访问你的telnet服务,但对该访问进行日志
in.telnetd:ALL:spawn /bin/echo `data` %h >>/var/log/telnet
sshd:192.168.0.6
vi /etc/hosts
in.telnetd:IP地址
in.telnetd:crazylinux.hn.org
in.telnetd:other_ip