1、TCP Wrappers是一个工作在应用层的安全工具,它只能针对某些具体的应用或者服务起到一定的防护作用。
比如说ssh、telnet、FTP等服务的请求,都会先受到TCP Wrappers的拦截。它能够根据来访主机的地址
与本机的目标服务程序作出允许或拒绝的操作。

2、TCP Wrappers 服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文
件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表
文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应
的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若
找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行。

3、直接编辑/etc/hosts.allow和/etc/hosts.deny就可以实现主机、ip、服务等控制

  1. 在配置 TCP Wrappers 服务时需要遵循两个原则:
  2. )编写拒绝策略规则时,填写的是服务名称,而非协议名称;
  3. )建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。

4、配置格式

  1. service:host(s) [:action]
  2.  
  3. service:代表服务名,例如 sshdvsftpdsendmail 等,可以是多个,多个情况使用","逗号隔开。
  4.  
  5. host(s):主机名或者 IP 地址,可以有多个,例如 192.168.1.0,www.baidu.com(可以使用空格或,隔开)。
  6.  
  7. action:动作,符合条件后所采取的动作。
  8.  
  9. 配置文件中常用的关键字有:
  10.  
  11. ALL:所有服务或者所有 IP
  12.  
  13. ALL EXCEPT:所有的服务或者所有 IP 除去指定的。
  14.  
  15. 例如:
  16.  
  17. ALL:ALL EXCEPT 192.168.31.11
  18.  
  19. 表示除了 192.168.31.11 这台设备,任何设备执行所有服务时或被允许或被拒绝。

5、用例

  1. [root@bigdata-senior01 ~]# cat /etc/hosts.deny
  2. #
  3. # hosts.deny    This file contains access rules which are used to
  4. #        deny connections to network services that either use
  5. #        the tcp_wrappers library or that have been
  6. #        started through a tcp_wrappers-enabled xinetd.
  7. #
  8. #        The rules in this file can also be set up in
  9. #        /etc/hosts.allow with a 'deny' option instead.
  10. #
  11. #        See 'man 5 hosts_options' and 'man 5 hosts_access'
  12. #        for information on rule syntax.
  13. #        See 'man tcpd' for information on tcp_wrappers
  14. #
  15. vsftpd:* #禁止所有设备使用ftp
  16. [root@bigdata-senior01 ~]# cat /etc/hosts.allow
  17. #
  18. # hosts.allow    This file contains access rules which are used to
  19. #        allow or deny connections to network services that
  20. #        either use the tcp_wrappers library or that have been
  21. #        started through a tcp_wrappers-enabled xinetd.
  22. #
  23. #        See 'man 5 hosts_options' and 'man 5 hosts_access'
  24. #        for information on rule syntax.
  25. #        See 'man tcpd' for information on tcp_wrappers
  26. #
  27. vsftpd:192.168.31.0/255.255.255.0 #允许31段所有设备使用ftp服务

最终192.168.31.0/24 网段可以使用ftp服务

CentOS 访问控制列表(tcp wrappers)的更多相关文章

  1. SSH使用TCP Wrappers实现访问控制

    SSH使用TCP Wrappers实现访问控制主要配置文件/etc/hosts.allow/etc/hosts.deny===TCP Wrappers的访问控制原则首先检查 hosts.allow 文 ...

  2. CentOS 7 文件权限之访问控制列表(ACL)

    Linux的ACL是文件权限访问的一种手段.当拥有者所属组其他人(own,group,other)不能满足给一个单独的用户设置单独的权限时,ACL的出现就很好的解决了该问题. 比如其他用户own,不属 ...

  3. Centos下ACL(访问控制列表)介绍(转)

    我们知道,在Linux操作系统中,传统的权限管理分是以三种身份(属主.属組以及其它人)搭配三种权限(可读.可写以及可执行),并且搭配三种特殊权限(SUID,SGID,SBIT),来实现对系统的安全保护 ...

  4. firewall-cmd 防火墙命令详解 及 TCP Wrappers

    firewall-cmd 常用参数及作用 参数 作用 --get-default-zone 查询默认的区域名称 --set-default-zone=<区域名称> 设置默认的区域,使其永久 ...

  5. TCP Wrappers(简单防火墙)---限制IP登录ssh

    1.TCP Wrappers 简介 TCP_ Wrappers是- 一个工作在第四层(传输层)的的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap ...

  6. TCP Wrappers原理及简单实验

    1.TCP Wrappers(简易防火墙)简介TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwr ...

  7. linux TCP Wrappers

    1. TCP Wrapper简介 (出处:http://www.softpanorama.org/Net/Network_security/TCP_wrappers/) (维基百科)TCP Wrapp ...

  8. Add-VMNetworkAdapterAcl(添加访问控制列表)

    Add-VMNetworkAdapterAclCreates an ACL to apply to the traffic through a virtual machine network adap ...

  9. CCNA网络工程师学习进程(8)访问控制列表ACL

    前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access C ...

随机推荐

  1. Qt的4个图像类QImage/QPixmap/QBitmap/QPicture 转

    Qt的4个图像类QImage/QPixmap/QBitmap/QPicture 转 (一)QPixmap和QImage的区别 http://www.thisisqt.com/forum/viewthr ...

  2. c++ 重载运算与类型转换

    1. 基础概念 重载的运算符是具有特殊名字的函数:(重载运算符函数,运算符函数.重载运算符) 依次包含返回类型,函数名(operator=),参数列表,函数体. 只有重载的函数调用运算符operato ...

  3. cc2541测试SimpleBLEPeripheral例程

    1. 修改工程选项,去掉CC2540_MINIDK,烧写CC2541代码 2. 打开手机软件TruthBlue2_7 3. 准备看下特征值4的通信,在周期处理里面,一直读取特征值3的值,然后由特征值4 ...

  4. MySQL高级-MySQL安装

    1.mysql安装 检查系统是否安装过mysql 查询命令:rpm -qa|grep -i mysql 删除命令:rpm -e RPM软件包名(该名字是上一个命令查出来的名字) 安装命令:rpm -i ...

  5. python 终极篇 cookie与session

    ()cookie与session---------->>>>>>>>>>>>>>>>>>&g ...

  6. OpenMPI 集群配置

    现在有2台机器,希望可以尝试一下在多台机器上跑MPI的感觉,所以跑之前就得配置,先参考网址: https://www.cnblogs.com/awy-blog/p/3402949.html: 1. 配 ...

  7. LeetCode 138——复制带随机指针的链表

    1. 题目 2. 解答 第一次遍历链表的时候,复制旧链表的节点值建立一个新的链表,同时定义一个 unordered_map 作为哈希表,哈希表的键为旧链表的节点指针,值为新链表的节点指针. 然后,第二 ...

  8. 二 Capacity Scheduler 计算能力调度器

    官网的写的太难懂,参考:http://www.360doc.com/content/14/0603/14/14935022_383254798.shtml Capacity Scheduler 一种可 ...

  9. 面试中要注意的 3 个 JavaScript 问题

    JavaScript 是 所有现代浏览器 的官方语言.因此,各种语言的开发者面试中都会遇到 JavaScript 问题. 本文不讲最新的 JavaScript 库,通用开发实践,或任何新的 ES6 函 ...

  10. Android 开发 之 JNI入门 - NDK从入门到精通

    NDK项目源码地址 : -- 第一个JNI示例程序下载 : GitHub - https://github.com/han1202012/NDKHelloworld.git -- Java传递参数给C ...