16.10.TCP 封装器(TCP Wrapper)
最后更新于
最后更新于
TCP Wrappers 是一种基于主机的网络访问控制系统。通过在实际的网络服务之前拦截传入的网络请求,TCP Wrappers 根据预定义的规则评估源 IP 地址是否被允许访问或被拒绝。
然而,尽管 TCP Wrappers 提供了基本的访问控制,但不应被视为更强大安全措施的替代品。为了全面保护,建议结合使用防火墙、适当的用户身份验证实践和入侵检测系统。
TCP Wrappers 默认在 中启用。因此,第一步是启用 ,执行以下命令:
然后,正确配置 /etc/hosts.allow。
警告
不同于其他实现,FreeBSD 中 hosts.deny 的使用已被弃用。所有配置选项应放在 /etc/hosts.allow 中。
在最简单的配置中,守护进程的连接策略设置为允许或阻止,具体取决于 /etc/hosts.allow 中的选项。FreeBSD 的默认配置是允许所有连接到由 inetd 启动的守护进程。
基本配置通常采用 daemon : address : action 形式,其中 daemon 是 inetd 启动的守护进程,address 是有效的主机名、IP 地址或用括号括起来的 IPv6 地址 ([ ]),action 是 allow 或 deny。TCP Wrappers 使用“先匹配规则”的语义,意味着配置文件会从头开始扫描匹配的规则。待找到匹配项,规则会被应用,搜索过程停止。
例如,要允许通过 守护进程进行 POP3 连接,可以将以下行添加到 /etc/hosts.allow:
每次编辑此文件时,请重新启动 inetd:
TCP Wrappers 提供了高级选项,可以更好地控制连接的处理方式。在某些情况下,可能需要对某些主机或守护进程连接返回评论。在其他情况下,可能需要记录日志条目或向管理员发送电子邮件。还有些情况可能需要仅对本地连接使用某个服务。所有这些都可以通过使用通配符、扩展字符和外部命令执行来实现。要了解更多关于通配符及其相关功能的信息,请参阅 。