tcpwrapper防火墙

最新推荐文章于 2023-08-17 15:25:15 发布
最新推荐文章于 2023-08-17 15:25:15 发布
阅读量1.1k 收藏
点赞数
分类专栏: linux server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feilong0663/article/details/9226571
版权
tcpwrappers(防火墙) --过滤TCP包头(/usr/sbin/tcpd)

控制文件:
规则

匹配顺序: tcp-->tcpwrappers-->hosts.allow--> hosts.deny,默认情况下这两个文件是空的,规则马上写马上生效.
1、如果在hosts.allow能够匹配到相应的规则,则允许,匹配到此结束。
2、如果在hosts.allow匹配不到相应规则,接下来匹配hosts.deny文件,如果匹配到则拒绝,匹配到此结束。
3、如果在hosts.allow和hosts.deny中都无法匹配到相应规则,则允许。


防火墙的规则设计思路:先在host.deny先拒绝所有,然后再hosts.allow逐个放开。


tcpwrappers过滤的依据:服务名字,其实就是服务对应二进制文件的文件名


vsftpd/httpd/postfix/samba/nfs/sshd/squid/xinetd


vsftpd: /usr/sbin/vsftpd
sshd: /usr/sbin/sshd
portmap: /sbin/portmap  --> rpcbind
xinetd: /usr/sbin/xinetd


查看vsftpd是否支持tcpwrappers
client-->vsftpd-(libwrap.so)->tcpwrappers








查看某个服务支持tcpwrappers过滤:
# rpm -ql tcp_wrappers |grep '\<libwrap.so\>'
/usr/lib/libwrap.so


查询xinetd服务是否支持tcpwrappers的过滤:
1.
# ldd `which xinetd `|grep wra
        libwrap.so.0 => /lib/libwrap.so.0 (0x00110000)
# ldd `which vsftpd` |grep wra
        libwrap.so.0 => /lib/libwrap.so.0 (0x003e1000)
2.strings
# strings /sbin/portmap |grep 'hosts.*'
/etc/hosts.allow
/etc/hosts.deny
------------------
实例1:
# service vsftpd start
为 vsftpd 启动 vsftpd:                                    [确定]
# chkconfig krb5-telnet on
# service xinetd restart
停止 xinetd:                                              [确定]
启动 xinetd:                                              [确定]
# netstat -tnlp |grep :21
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      2578/vsftpd         
# netstat -tnlp |grep :23
tcp        0      0 0.0.0.0:23                  0.0.0.0:*                   LISTEN      2635/xinetd         
------------
设置规则:
1.telnet只有192.168.0.254能访问
2.vsftpd192.168.0.0/24都能访问,除192.168.0.254
3.sshd 192.168.0.254,只要有登录则发邮件告知管理员
4.本机能够访问这三个服务.




# vim /etc/hosts.deny 
vsftpd: ALL
telnetd: ALL
sshd:   ALL




# vim /etc/hosts.allow 
in.telnetd:        192.168.0.254
sshd:           192.168.0.254: spawn echo "login attempt from %c to %s" | mail -s "information about sshd login attempt" root@baidu.com
vsftpd:         192.168.0.0/255.255.255.0 EXCEPT 192.168.0.254
ALL:            LOCAL .baidu.com


spwan 执行命令
%c 客户端地址
%s 服务器的地址
LOCAL 本地主机


hosts.allow和hosts.deny格式:
服务名字1, 服务名字2, ...: 客户机地址 [:动作]


1、如何找出名字
2、客户机地址:
ALL
network/mask 192.168.0.0/255.255.255.0 或 192.168.0.
127.
?
.uplooking.com *.uplooking.com
EXCEPT
3、动作:
ALLOW
DENY












*************************************************
[root@mail ]# vim /etc/hosts.deny 


vsftpd: ALL
in.telnetd: ALL
sshd:   ALL




[root@mail ]# vim /etc/hosts.allow 




in.telnetd: 192.168.0.254
vsftpd: 192.168.0.0/255.255.255.0 EXCEPT 192.168.0.254
sshd:   192.168.0.254: spawn echo "login attempt from %c to %s" | mail -s "information about sshd login attempt" root@baidu.com
ALL:    LOCAL, .baidu.com

feilong0663
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙的基本概念(1)TCP/IP协议
MSB_WLAQ的博客
09-27 1595
OSI标准将网络分为七层,而TCP/IP标准仅把网络分为四层。不过,我们只需要了解TCP/IP的标准即可。 TCP/IP协议自上而下分为应用层、传输层、网络层、链路层。
iptables防火墙之SNAT、DNAT及firewalld防火墙
最新发布
2303_79207100的博客
10-07 556
SNAT:源地址转换DNAT:目的地址转换核心:通过iptables进行地址转换SNAT内网→外网:改变源地址DNAT外网→内网:改变目的地址(重要)linux系统能抓包吗?可以。使用linux系统自带的抓包工具tcpdump来抓包抓包方式:1、指定抓包的数量tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w ./target.cap #指定抓包数量10个2、动态抓包。
Windows防火墙屏蔽恶意TCP连接
shuia64649495的博客
08-17 554
只为了好玩,微软本身是恶意的~~
TCP_Wrappers防火墙配置
识途老码
09-03 1460
访问控制列表来实现防火墙功能防火墙优先级防火墙策略配置文件--从应用层配置防火墙策略server_nametcpd服务配置文件配置完不需要重启,策略会立即生效 使用服务的访问控制列表来配置防火墙策略 防火墙优先级 iptables优先级最高,是内核级别的 firewalld 防火墙策略次之 tcpd服务器配置文件优先级最低 防火墙策略配置文件–从应用层配置防火墙策略 TCP Wrappers服务的防火墙策略由两个控制列表文件所控制 /etc/hosts.allow和/etc/hosts.deny /etc
Ubuntu下安装tacacs+服务器
ly_6118的博客
10-26 4060
下载tacacs+服务器地址ftp://ftp.shrubbery.net/pub/tac_plus/tacacs±F4.0.4.26.tar.gz 把压缩包拷至自己定义的文件夹中解压,# tar zxvf tacacs±F4.0.4.26.tar.gz 进入解压后的文件夹中,# cd tacacs±F4.0.4.26 依次输入# less INSTALL ./configure 可能会...
TCPwrapper访问控制工具
01-09
TCPwrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以用作访问控制。 针对系统进程来做限制的 TCPwrapper有两个配置文件(文件中写入ip或网段) 1./etc/hosts.allow 允许访问的文件(优先) 2./...
linux防火墙-tcp wrapper的简单配置说明.docx
10-29
linux防火墙-tcp wrapper的简单配置说明.docx
防火墙相关
04-24
4.4.1 TCP Wrapper 69 4.4.2 中继 71 4.4.3 更好的telnetd 71 4.4.4 支持对外的 FTP访问 72 4.5 安装服务 72 4.5.1 邮件递交 72 4.5.2 对内的telnet 73 4.5.3 代理服务 75 4.5.4 网关服务菜单 76 4.5.5 匿名FTP 78 ...
TCP/IP详解
07-25
第一部分 TCP/IP基础 第1章 开放式通信模型简介 1 1.1 开放式网络的发展 1 1.1.1 通信处理层次化 2 1.1.2 OSI参考模型 3 1.1.3 模型的使用 5 1.2 TCP/IP参考模型 7 1.3 小结 7 第2章 TCP/IP和Internet 8 2.1 一段...
TCP Wrapper简易防火墙
阿瑾的博客
10-24 699
TCP Wrappers TCP Wrappers 简介 TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有:rpcbind、vsftpd、sshd、telnet。 判断方式: 查看对应服务命令所在位置which sshd 查看指定命令执行时是否调用libwrap.so文件
TCP连接与防火墙
zhuweisky
09-16 2725
    通常,我们的Tcp服务器会放在IDC机房的某一个或几个防火墙后面,客户端与服务器之间的TCP连接会经过防火墙中转,如下图所示:        在这种情况下,有一点特别需要注意:当Firewall与Server之间的Tcp连接在一段时间(如10分钟)内没有任何应用层的消息经过时,Firewall可能会主动断开与Server之间的Tcp连接,但是Client与Firewall
Tacacs&freeradius安装
weixin_43201868的博客
06-30 776
**** 1.查看tacacs最新版本 http://www.shrubbery.net/tac_plus/ 2.下载 P.S. 如果Centos报错没有安装wget,用命令yum -y install wget安装。 如果安装wget报错 Could not retrieve mirrorlist http://mirrorlist.centos.org/?.. - “Could not resolve host: mirrorlist.centos.org; Unknown error”,那可能是网
关于tcp_wrappers防火墙
追梦者的部落格
08-25 3098
关于Linux的安全性,相信大家都知道,但是对于其为什么安全,可能大家并不一定能够完全说清楚,我觉得,linux的安全主要体现在三个方面: 开源 严格的权限控制 内核支持的安全加固 当然,linux最重要的特性就是开源,这也促成其安全最重要的一个特点,其次权限相信用过linux的同学一定深有体会,而今天我们就来说说第三方面内核支持的安全加固。 我们知道linux下的防火墙是内核支持的,故每个lin
tcp_wrapper
凤朝飞
02-22 309
tcp_wrapper判断一个服务程序是否能够由tcp_wrapper进程访问控制的方法 动态链接到libwrap.so库ldd /PATH/TO/PROGRAM 静态编译libwrap.so库文件到程序中:stringss /PATH/TO/PROGRAM 配置文件 /etc/hosts.allow /etc/hosts.deny配置文件语法daemon_list : client_list :
访问控制工具tcpwrapper
旅人与风的博客
08-30 513
介绍 1.tcp wrapper是一种访问控制工具是操作系统自带的,类似于iptables可以作访问控制。 2.工作在传输层,针对系统进程来做限制的 3.tcp wrapper只能对基于tcp协议的服务作访问控制,但并不是所有基于tcp协议的服务都能实现用tcp wraper作访问控制。 ====================================== #TCPwrapper配置 TCPwrapper有两个配置文件。 1./etc/hosts.allow --允许 2./etc/hosts.
tcp_wrappers防火墙介绍
iteye_5722的博客
11-18 203
一 查看系统是否安装了tcp_wrappers 如果有上面类似输出,表示已经安装了tcp_wrappers模块。如果没有显示,可能没有安装,就需要通过yum或者rpm工具进行安装。  二 tcp_wrappers防火墙的局限性 系统中的某个服务是否使用了tcp_wrappers防火墙,取决于服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙,系...
关于TCP Wrapper
JXH_123的专栏
05-14 2015
像Telnet、SSH、FTP、POP和SMTP等很多服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和服务回应的中间处理。 tcp_wrapper (tcpd) 由 xinetd 启动,而非作为一个独立的服务启动。 它的基本过程是这样的:当接收到一个外来服务请求的时候,先由TCP Wrapper处理这个请求,TCP Wrapper根据这个请求所请求的服务和针对这个服务所
Wrapper queryWrapper
09-23
QueryWrapper是一个用于构造查询条件(where语句)的抽象类。它继承自AbstractWrapper,并且拥有自身的内部属性entity,该属性用于生成where条件。可以通过new QueryWrapper().lambda()方法获取LambdaQueryWrapper...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值