TCP Wrapper

在 RHEL 7 中已不推荐使用,在 RHEL 8 中已弃用。

简单来说该技术就是配置 /etc/hosts.allow/etc/hosts.deny 两个文件来达到控制访问源的目的。

  1. 控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;
  2. 如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。
  3. 如果这两个文件全都没有匹配到,则默认放行流量。
客户端类型 示例 满足示例的客户端列表
单一主机 192.168.10.10 IP 地址为 192.168.10.10 的主机
指定网段 192.168.10. IP 段为 192.168.10.0/24 的主机
指定网段 192.168.10.0/255.255.255.0 IP 段为 192.168.10.0/24 的主机
指定 DNS 后缀 .linuxprobe.com 所有 DNS 后缀为.linuxprobe.com 的主机
指定主机名称 www.linuxprobe.com 主机名称为 www.linuxprobe.com 的主机
指定所有客户端 ALL 所有主机全部包括在内

在配置 TCP Wrappers 服务时需要遵循两个原则:

  1. 编写拒绝策略规则时,填写的是服务名称,而非协议名称;
  2. 建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。