hosts.allow和hosts.deny文件

　　之前想通过外部主机访问自己主机上的VMWare虚拟机，使用了VMWare的NAT端口映射，经过一番尝试，算是成功了，总结一下。

　　VMWare NAT端口映射就可以将虚拟机上的服务映射成自己主机上的端口，以供外部访问。不过需要主机上的windows系统开放相应的防火墙，windows的资料查起来比较困难，使用价值也不大，所以没有深究，目前直接关闭防火墙，以后有真正的需求再认真研究。

　　当然虚拟机上CentOS的防火墙也必须打开，这个好像默认就是打开的（至少sshd的22端口是打开的），然后发现还是访问不了，查了一下资料，需要配置一下/etc/hosts.allow文件。终于到了正题，hosts.allow和hosts.deny，这两个文件是什么？

　　CentO系统中提供一个叫TCP Wrapper的机制，是在防火墙之后的一道安全控制屏障，任何访问如果通过不了防火墙，那就没戏，通过了防火墙还得经过TCP Wrapper的考验。详情参考:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Reference_Guide/ch-tcpwrappers.html。这里是官方的比较详细的说明。总结起来大该是如下几点:

　　1） TCPWrapper只针对系统中的网络服务，比如sshd，sendmail，vsftpd等等（/etc/rc.d/init.d/目录下的服务）。

　　2） TCPWrapper由/usr/lib/libwrap.a实现，代码中使用libwrap.a的服务才会启动hosts.allow和hosts.deny。通过strings -f <service-program> | grep hosts_access可以大致确定制定服务是否使用TCPWrapper。

　　3） 大概的流程如下图，其中xinetd也是一个网络服务。

　　　　

　　4）TCPWrapper只是在建立连接的时候起控制作用，连接一旦建立，TCPWrapper不会再进行干涉。

　　为什么有了防火墙还要搞这么个东西，功能感觉防火墙都能做啊有木有。原因我不太懂，但是看了hosts.allow和hosts.deny的规则大概就懂了，其实这是一个更高层次访问控制，就是说防火墙控制太细了，同时也比较麻烦，我本人就不太熟悉防火墙的细节，以前看过一点，根本记不住。但是hosts.allow和hosts.deny这个规则分分钟记住啊。先来个例子：

　

　　这个是host.allow里面的东西，意思是a) allow 192.168.171.129访问本机的sshd服务，b)deny 192.168.171.1访问本机的sshd服务，c)allow 192.168.171.1访问本机的sshd服务。意思很清晰，语法也很简单是不是？

　　相信很多同学也能看出语法规则，就是<服务名>:<主机描述>:allow/deny。本人对这个语法也只是初步了解，可能有更复杂的用法，这个有兴趣的同学可以参考之前给出的官方文档链接。这里给出以下几点说明，希望对新接触的同学有点帮助。

　　1) 服务名是/etc/rc.d/init.d/目录下的网络服务名，而且是服务的执行文件的名字，如sshd。

　　2) 主机描述可以比较自由，比如192.168.*.*，还有ALL，大家应该懂是什么意思，我就不描述了。其他很灵活的用法请参考官方文档。

　　3) 上面c中没有指出是allow/deny，为什么是allow？没有细看说明，根据我的实验，在hosts.allow中不指定就是默认allow，hosts.deny中默认是deny。

　　4) 原则上建议hosts.allow中定义allow规则，hosts.deny中定义deny规则，但是这个不是强制的。可以在hosts.allow中定deny规则，也可以在hosts.deny中定义allow规则。

　　5) 规则的优先顺序为先hosts.allow再hosts.deny，每个文件中由上至下，一旦匹配一条规则，则停止匹配。上面的例子192.168.171.1就会被sshd deny掉，因为deny规则在前，allow规则在后。有些资料说先allow规则再deny规则是不对的，估计是英文水平一般，直接翻译的，断章取义害死人啊。

　　是不是很简单实用？好了，骚年，赶紧动手试一试吧。