第八章 服务的访问控制列表

  • 内容
  • 评论
  • 相关

TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。

TCP Wrappers服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。

TCP Wrappers服务的控制列表文件配置起来并不复杂。

TCP Wrappers服务的控制列表文件中常用的参数

客户端类型

示例

满足示例的客户端列表

单一主机

192.168.10.10

IP地址为192.168.10.10的主机

指定网段

192.168.10.

IP段为192.168.10.0/24的主机

指定网段

192.168.10.0/255.255.255.0

IP段为192.168.10.0/24的主机

指定DNS后缀

.linuxprobe.com

所有DNS后缀为.linuxprobe.com的主机

指定主机名称

www.linuxprobe.com

主机名称为www.linuxprobe.com的主机

指定所有客户端

ALL

所有主机全部包括在内

在配置TCP Wrappers服务时需要遵循两个原则:

编写拒绝策略规则时,填写的是服务名称,而非协议名称;

建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。

下面编写拒绝策略规则文件,禁止访问本机sshd服务的所有流量(无须/etc/hosts.deny文件中修改原有的注释信息):

这时候已经连不上了

接下来,在允许策略规则文件中添加一条规则,使其放行源自192.168.38.0/24网段,访问本机sshd服务的所有流量。可以看到,服务器立刻就放行了访问sshd服务的流量,效果非常直观:


马上就ok了