TCP Wrappers是RHEL 7系統中默認啟用的一款流量監控程序,它能夠根據來訪主機的地址與本機的目標服務程序作出允許或拒絕的操作。換句話說,Linux系統中其實有兩個層面的防火牆,第一種是前面講到的基於TCP/ip協議的流量過濾工具,而TCP Wrappers服務則是能允許或禁止Linux系統提供服務的防火牆,從而在更高層面保護了Linux系統的安全運行。
TCP Wrappers服務的防火牆策略由兩個控制列表文件所控制,用戶可以編輯允許控制列表文件來放行對服務的請求流量,也可以編輯拒絕控制列表文件來阻止對服務的請求流量。控制列表文件修改後會立即生效,系統將會先檢查允許控制列表文件,如果匹配到相應的允許策略則放行流量;如果沒有匹配,則去進一步匹配拒絕控制列表文件,若找到匹配項則拒絕該流量。如果這兩個文件全都沒有匹配到,則默認放行流量。
在配置TCP Wrappers服務時需要遵循兩個原則:
- 編寫拒絕策略規則時,填寫的是服務名稱,而非協議名稱;
- 建議先編寫拒絕策略規則,再編寫允許策略規則,以便直觀地看到相應的效果。接下來,在允許策略規則文件中添加一條規則,使其放行源自192.168.10.0/24網段,訪問本機sshd服務的所有流量。可以看到,服務器立刻就放行了訪問sshd服務的流量。
分享到:
閱讀更多 IT小白進階之路 的文章
