tcp_wrapper(一个网络访问控制模块)是在数据包到主机后的第二层处理机制,在iptables之后,但配置比iptables简单,功能也更加强大。但是效率不高,所以一些对效率高的程序不建议使用
语法:
daemon_list : client_list :command
例如:当192.168.1.100 ssh连接我时就在log文件中写入一条hello
sshd : 192.168.1.100 : spawn echo "hello" > log
tcp_wrapper根据这两个文件来判断一个数据包是否合法
/etc/hosts.deny
/etc/hosts.allow
判断顺序如下
1、出现在hosts.allow文件中――> 合法 并终止判断
2、出现在hosts.deny文件中――> 非法 并终止判断
3、2个文件中都没有出现(默认情况) ――> 合法
例子:
示例1:拒绝所有人除了192.168.0.*网段进行ssh访问:
在hosts.deny中加入
sshd : ALL except 192.168.0.
如果我的ip不是192.168.0.* 网段,则会出现如下错误
joy@joy:~$ ssh root@192.168.0.11
ssh_exchange_identification: read: Connection reset by peer
示例2:拒绝所有人对所有服务的访问,只开放个别例子
1、拒绝所有人对所有服务的访问
在hosts.deny中加入
ALL : ALL : spawn echo "`date` %d on %A" >> /var/log/deny.log
2、开放个别记录(允许192.168.0网段的人访问ssh)
在hosts.allow中加入
sshd : 192.168.0. : spawn echo "`date` %a access for your %A" >> /var/log/deny.log