linux: 使用TCP Wrappers构建简单的防火墙

   TCP Wrappers可用于配置基于程序名的过滤配置

   要配置TCP Wrappers,只要修改/etc/hosts.allow和/etc/hosts.deny即可

   比如

  

		[root@www ~]# vim /etc/hosts.allow
		ALL: 127.0.0.1     #本机所有访问都允许
		httpd: 10.0.0.100  #只允许这个IP访问httpd
   

  

   另外,hosts.allow是白名单,hosts.deny是黑名单,两个同时用,怎么回事?  实际的规则是(鸟哥的原话):  

  

   1. 先以 /etc/hosts.allow 为优先比对,该规则符合就予以放行;

   2. 再以 /etc/hosts.deny 比对,规则符合就予以抵挡;

   3. 若不在这两个档案内,亦即规则都不符合,最终则予以放行。

  

最后要注意,TCP Wrappers并不支持对任意程序的配置。它主要用于httpd, ssh, vsftpd等服务。

Leave a Comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.