TCP Wrappers的訪問策略

一.TCP Wrappers機制的保護對象爲各類網絡服務程序，針對訪問服務的客戶機地址進行訪問控制。對應的兩個策略文件爲 /etc/hosts.allow和/etc/hosts.deny,分別用來設置容許和拒絕策略。
1.策略的配置格式
兩個策略文件的做用相反，可是配置記錄格式相同，以下所示

<服務程序列表>：<客戶機地址列表>
服務程序列表、客戶機地址列表之間以冒號分隔，在每一個列表內的多個項之間以逗號分隔。
（1）服務程序列表
服務程序列表可分爲如下幾類。
●ALL:表明全部的服務。
●單個服務程序:如「vsftpd」
●多個服務程序組成的列表:如「vsftpd，shd
（2）客戶機地址列表
客戶機地址列表可分爲如下幾類。
網絡段地址:如「
192.168.4.0/255.255.255.0
●以「.」開始的域名:如「kgc.cn」匹配 kgc cn域中的全部主機。
●以「.」結束的網絡地址:如「192.168.4」匹配整個192168.4.0/24網段。嵌入通配符「＊」「？」:前者表明任意長度字符，後者僅表明一個字符，「10.0.8.2＊」匹配以10.0.8.2開頭的全部P地址。不可與以「」開始或結的模式混用。
多個客戶機地址組成的列表:如「192.68.1. 172.17.17.，.kgc.cn」
2.訪問控制的基本原則
關於TCP Wrappers機制的訪問策略，先檢查/etc/hosts.allow文件，若是找到匹配項的策略，則容許訪問。不然繼續檢查/etc/hosts.deny文件。若是找到匹配的策略，則拒絕訪問；若是檢查兩個文件都找不到匹配的策略，則容許訪問。
3.TCP Wrappers配置實例
例如：若只但願ip地址爲192.168.10.10的主機或位於192.168.20.0/24網段的主機訪問sshd服務，拒絕其餘地址。vim /etc/hosts.allow

vim /etc/hosts.deny