05-iptables_tcp wrapper

最新推荐文章于 2022-07-30 09:09:50 发布
最新推荐文章于 2022-07-30 09:09:50 发布
阅读量471 收藏
点赞数
分类专栏: LinuxAdministration 文章标签: tcpwrapper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010796631/article/details/50602551
版权

04-iptables_tcp wrapper

概念

tcp wrapper是可以简单的理解为一种配置更见简单的网络连接控制,程序员在编写程序的时候只要调用了tcp wrapper的库文件,就可以使用它提供的网络连接控制功能;因此,tcp wrapper可以理解为一层公共的接口。

libwrap.so文件是tcp wrapper的库文件,供其它程序调用

[root@husa ~]# ls /usr/lib64 | grep wrap
libwrap.so.0
libwrap.so.0.7.6
[root@husa ~]# ls /lib64 | grep wrap
libwrap.so.0
libwrap.so.0.7.6

要使用tcp wrapper,必须首先确保程序使用了上述库文件

如何判断一个程序是否使用了libwrap.so库文件?

动态编译

直接使用ldd命令

[root@husa ~]# ldd /usr/sbin/sshd
        linux-vdso.so.1 =>  (0x00007fff5adfe000)
        libfipscheck.so.1 => /lib64/libfipscheck.so.1 (0x00007f03e0a2c000)
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f03e0821000)
        libaudit.so.1 => /lib64/libaudit.so.1 (0x00007f03e05f9000)

从上面的结果可以发现sshd程序可以通过tcp wrapper控制

静态编译

由于静态编译不能通过ldd命令查询,所以需要使用 strings
命令

strings命令查看应用程序文件,其结果中是否出现了hosts.allow和hosts.deny文件

# ] strings progname | grep hosts.allow

配置

原理

基于libwrap完成访问控制原理

首先检查/etc/hosts.allow文件中有没有显示授权当前请求者的访问
    如果授权了,则直接授权客户端能够访问
    如果没有,就接着去检查/etc/hosts.deny文件中有没有显示拒绝当前请求者的访问
        如果拒绝了,就直接拒绝当前请求者的访问
        如果没有拒绝,就授权请求者访问

配置文件

/etc/hosts.allow
/etc/hosts.deny

格式

daemon_list : client_list [ : shell_command ]

daemon_list:

1 单个应用程序的文件名称而不是服务名称
2 用逗号分割多个应用程序文件名列表
3 ALL表示所有受tcp wrapper控制的程序

client_list:

1 IP
2 hosts_name
3 netAddr
    必须使用完整格式的掩码、不能使用前缀格式的掩码(172.16.0.0/255.255.0.0 OK)  (172.16.0.0/16 Error)
    或者使用简短格式的掩码,比如 172.16.  表示 172.16.0.0/255.255.0.0
    ALL表示所有主机,即KNOWN(已知的)、UNKNOWN(未知的)、PARANOID(正解和反解不匹配的主机)

EXCEPT:

表示除了的意思

options:

deny:拒绝,主要用于hosts.allow文件;
allow:允许,主要用于hosts.deny文件;
spawn:启动指定的应用程序;
    vsftpd: ALL :spawn /bin/echo $(date) login attempt from %c to %s, %d >> /var/log/vsftpd.deny.log
        %c: client ip
        %s:  daemon@serve_ ip
        %d: daemon name

帮助文档

man 5 hosts_options

man 5 hosts_access

man tcpd

例子

1 vsftpd仅开放给172.16.0.0/255.255.0.0中的主机访问;

vim /etc/hosts.allow
vsftpd:172.16.
# 表示172.16网段可以访问vsftpd

vim /etc/hosts.deny
vsftpd:ALL
# 表示所有主机禁止访问vsftpd

2 sshd仅开放给172.16.0.0/255.255.0.0中的主机访问,但是不包含172.16.100.6;

vim /etc/hosts.allow
sshd:172.16 EXCEPT 172.16.100.6
#表示除了172.16.100.6

vim /etc/hosts.deny
sshd:ALL

3 解释

vim /etc/hosts.allow
sshd:172.16. EXCEPT 172.16.100.6 :deny

表示hosts.allow中的172.16网段中除了172.16.100.6都被拒绝,而172.16.100.6到底被允许没有还要查看/etc/hosts.deny文件中有没有显式拒绝,没有显示拒绝就允许访问

华小熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables之六tcp_wrapper
weixin_30399155的博客
04-16 186
一、iptables补充与回顾 1、iptables修改链接跟踪表最大容量大小的方式   iptables的链接跟踪表最大容量为/proc/sys/net/ipv4/ip_conntrack_max(有的地方可能叫nf_conntrack_max),链接碰到各种状态的超时后就会从表中删除。   所以解決方法一般有两个:    (1)、加大 ip_conntrack_max 值   v...
Linux学习-iptablesTCPWrapper
丢爸
04-27 931
tcp_wrappertcp包装器 对基于tcp协议开发并提供服务的应用程序,提供一层访问控制工具 基于库调用实现其功能,libwrap #判断服务是否能够由tcp_wrapper进行访问控制 1)动态编译:ldd命令 2)静态编译:strings命令查看应用程序,其结果中如果出现hosts.allow,hosts,deny #查看sshd服务是否受tcp_wrapper控制 [root@nginx01 netfilter]# ldd `which sshd` linux-vdso.so.1 =&g
iptables/netfilter、 tcp_wrapper
weixin_34352449的博客
08-14 245
iptables/netfilter: Firewall:防火墙,隔离工具;工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理的组件;主机防火墙网络防火墙 软件防火墙(软件逻辑):硬件防火墙(硬件和软件逻辑):NetScreen,CheckPoint,。。。 iptables(netfilter)netfilter:kerne...
linux 防火墙 TCP Wrappers 和 iptables
zhupenghui176的博客
10-15 227
TCPwrapper访问控制工具
01-09
TCPwrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以用作访问控制。 针对系统进程来做限制的 TCPwrapper有两个配置文件(文件中写入ip或网段) 1./etc/hosts.allow 允许访问的文件(优先) 2./...
centos下fail2ban安装与配置详解
01-10
一、fail2ban简介 fail2ban可以监视你的系统...如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。3、在logpath选项中支持通配符4、需要Gamin支持(注:Gamin是用于监视文件和
seafile-authentication-fail2ban:fail2ban的过滤器允许禁止与seafile日志中的失败身份验证相关的每个IP
05-01
seafile-authentication-fail2ban 推介会 ... 它使用Python编程语言编写,能够在POSIX系统上运行,该系统具有与本地安装的数据包控制系统或防火墙的接口,例如iptablesTCP Wrapper。 (Wikipedi
批量修改ssh配置的expect脚本
01-10
第二思路,用tcpwrapper把sshd的allow写死;第三思路,修改sshd_config,只监听内网请求。 由于一些说不清楚的原因,iptables的办法没法用;而tcpwrapper占用CPU资源较多;所以最后决定用第三种办法。 公司服务器...
tcp_wraper——轻量级的iptables防火应用
donghaixiaolongwang的博客
03-19 1081
1、tcp_wraper是什么? iptables无论是在防火墙、还是端口转发的场景下,功能都异常强悍和灵活。但并不是每个人都有时间来潜心研修iptables。这就使得初级人员,书防火墙规则变得十分痛苦(无知是一种痛苦)。因此为了满足普通人对防火墙的需求,这里就总结了tcp_wraper这种轻量级的iptables防火墙应用。 值得注意的是tcp_wraper虽然能起到防火墙的作用,但也是有局
防火墙基础知识--TCP Wrappers和IPtables两种机制
weixin_33813128的博客
06-01 138
认识防火墙 概念 作用 Linux上防火墙类别 封包过滤机制Netfilter 程序管控机制TCP Wrappers 一般网络布线 使用能力限制 TCP Wrappers程序管控 概念: 简单来说,TCP wrappers就是透过/etc/hosts.allow和/etc/hosts.deny这两个文件来管理,但并非所有软件都可以。 支持的服务 super da...
TCP_wrapper
u012461550的专栏
01-11 1025
tcp_wrapper(一个网络访问控制模块)是在数据包到主机后的第二层处理机制,在iptables之后,但配置比iptables简单,功能也更加强大。但是效率不高,所以一些对效率高的程序不建议使用语法:daemon_list : client_list :command例如:当192.168.1.100 ssh连接我时就在log文件中写入一条hellosshd : 192.168.1.100 :
TCP Wapper服务控制
黑司机墨寒
07-16 292
1.实现控制服务的访问1)/etc/hosts.allow //允许访问的文件列表 2)/etc/hosts.deny //拒绝访问的文件列表 3.访问优先级 1)先检查/etc/hosts.allow是否有对应条目,如有则允许访问 2)再检查/etc/hosts.deny是否有对否条目,如有则拒绝访问 3)如两个文件都未有客户端对应条目,则允许访问 案例:vim /etc/hosts.den...
iptables命令详解及tcp wrappers
weixin_34258838的博客
03-22 368
一:前言防火墙用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 对于TCP/IP的...
tcpdump抓包与iptables过滤的关系
kakaweb的博客
07-30 619
null
tcpd和iptables
weixin_34384557的博客
01-07 605
2019独角兽企业重金招聘Python工程师标准>>> ...
防火墙与IPTABLES
hdyebd的博客
12-10 481
一、防火墙 1.什么是防火墙(firewall) 在计算机科学领域中,防火墙是一个架设在互联网与企业内网之间的信息 安全系统,根据企业预定的策略来监控往来的传输。 防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一直网络防护设备,从专业角度来说,防火墙是位于两个或多个网络间,实行网络间访问控制的一组组件集合之硬件或软件。 防火墙最基本的功能就是隔离网...
TCP_Wrappers防火墙配置
识途老码
09-03 1548
访问控制列表来实现防火墙功能防火墙优先级防火墙策略配置文件--从应用层配置防火墙策略server_nametcpd服务配置文件配置完不需要重启,策略会立即生效 使用服务的访问控制列表来配置防火墙策略 防火墙优先级 iptables优先级最高,是内核级别的 firewalld 防火墙策略次之 tcpd服务器配置文件优先级最低 防火墙策略配置文件–从应用层配置防火墙策略 TCP Wrappers服务的防火墙策略由两个控制列表文件所控制 /etc/hosts.allow和/etc/hosts.deny /etc
Tcp_Wrapper_简单的基于主机的访问控制工具
侯海云
09-15 3027
目录 目录 简介 特性 Tcp_Wrapper的实现 基本语法 范例 范例1 范例2 范例3 范例4 范例5 范例6简介tcp wrapper是Wietse Venema开发的一个开源软件。它是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables。Linux默认安装了tcp_wrapper。作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables
iptables_facts怎么用
最新发布
07-17
`iptables_facts` 是 Ansible 提供的一个模块,用于收集远程主机的 iptables 配置信息。你可以使用它来获取关于 iptables 规则、链、表和计数器等的详细信息。 以下是使用 `iptables_facts` 模块的一些示例: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值