TCP_wrappers 应用级防火墙的介绍和应用

最新推荐文章于 2023-12-28 23:01:40 发布
最新推荐文章于 2023-12-28 23:01:40 发布
阅读量246 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wayne8910/article/details/107366005
版权

   Linux新系统访问控制的流程如下:

   客户端--->iptables--->TCP_wrappers--->服务本身的访问控制

   需要注意的是,一些特殊的应用服务是不受TCP_wrappers控制的,例如httpd和samba

   TCP_wrappers是根据/etc/hosts.allow及/etc/hosts.deny两个文件来判断用户是否能够访问服务器资源。其实,/etc/hosts.allow与/etc/hosts.deny是/usr/sbin/tcpd的设定档,/usr/sbin/tcpd则是用来分析进入系统的TCP封包的一个软件,它是由TCP_wrappers提供的,那为什么叫做TCP_wrappers呢?其中wrappers有包裹的意思,也就是说,这个软件本身的功能就是分析TCP网络资料封包。前面提到网络的封包资料是以TCP封包为主的,这个TCP封包的档头至少记录了来源与目的主机的IP与PORT,因此,通过分析TCP封包,就可以判断是否允许让这个客户端访问服务器资源。

TCP_wrappers的访问控制主要通过以下两个文件实现:

/etc/hosts.allow

/etc/hosts.deny

/etc/hosts.allow用于定义允许的访问,/etc/hosts.deny用于定义拒绝的访问。

先来了解一下TCP_wrappers的访问控制判断顺序,如果客户端在通过iptables防火墙后想访问我们服务器的资源,系统会查看此客户端请求IP是否存在于/etc/hosts.allow列表里,如果存在,则接受此IP;如果不存在,则继续比对/etc/hosts.deny列表,如果存在于hosts.deny列表里,则拒绝此IP请求,如果此IP在两个文件里都不存在,则接受此IP请求。

如果一个IP既存在于/etc/hosts.allow中,又存在于/etc/deny中,那么这个IP根据上面的流程,最终的权限是允许

TCP_wrapper的语法格式如下:

<service>:<IP,domain,hostname...>:<allow|deny>

可以说TCP_wrappers是iptables最好的补充手段之一。所以很多朋友也称其为应用级防火墙。我们在做好服务器的防护工作时,可以利用iptables防火墙+TCP_wrappers的方法对服务器资源进行保护,这样其安全性也可进一步增强。

 

Wayne9027
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux如何启用tcp_wrappers防火墙
weixin_33724046的博客
01-12 825
Tcp_Wrappers 是一个用来分析 TCP/IP 封包的软件,类似的 IP 封包软件还有 iptables。Linux 默认都安装了 Tcp_Wrappers。作为一个安全的系统,Linux 本身有两层安全防火墙,通过 IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意***,保护整个系统正常运行,免遭...
TCP_Wrappers 简介
Woodrow1994的博客
03-01 1458
 TCP_Wrappers  简介TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。 工作原理TCP_Wrappers有一个TCP的守护进程叫作tc...
TCP_Wrappers防火墙配置
识途老码
09-03 1560
访问控制列表来实现防火墙功能防火墙优先防火墙策略配置文件--从应用层配置防火墙策略server_nametcpd服务配置文件配置完不需要重启,策略会立即生效 使用服务的访问控制列表来配置防火墙策略 防火墙优先 iptables优先最高,是内核别的 firewalld 防火墙策略次之 tcpd服务器配置文件优先最低 防火墙策略配置文件–从应用层配置防火墙策略 TCP Wrappers服务的防火墙策略由两个控制列表文件所控制 /etc/hosts.allow和/etc/hosts.deny /etc
TCP_Wrappers应用防火墙
weixin_30266885的博客
03-13 78
TCP_Wrappers是一个工作在应用层的安全工具,它只能针对某些具体的应用或者服务起到一定的防护作用。比如说ssh、telnet、FTP等服务的请求,都会先受到TCP_Wrappers的拦截。 TCP_Wrappers是基于库调用实现的。 转载于:https://www.cnblogs.com/mom...
防火墙的基本概念(1)TCP/IP协议
MSB_WLAQ的博客
09-27 1812
OSI标准将网络分为七层,而TCP/IP标准仅把网络分为四层。不过,我们只需要了解TCP/IP的标准即可。 TCP/IP协议自上而下分为应用层、传输层、网络层、链路层。
iptables防火墙之SNAT、DNAT及firewalld防火墙
2303_79207100的博客
10-07 920
SNAT:源地址转换DNAT:目的地址转换核心:通过iptables进行地址转换SNAT内网→外网:改变源地址DNAT外网→内网:改变目的地址(重要)linux系统能抓包吗?可以。使用linux系统自带的抓包工具tcpdump来抓包抓包方式:1、指定抓包的数量tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w ./target.cap #指定抓包数量10个2、动态抓包。
Windows防火墙屏蔽恶意TCP连接
shuia64649495的博客
08-17 667
只为了好玩,微软本身是恶意的~~
银河麒麟高服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
10-28
在日常运维中,除了配置tcp-wrappers,还应考虑其他安全措施,比如使用防火墙(如iptables或firewalld)限制NFS端口的访问,使用强密码策略,以及定期审计和更新系统。了解并实施这些最佳实践将有助于保护服务器免受...
tcp_wrapper源代码
05-03
这个源代码库通常包含在`tcp_wrappers_7.6`这样的版本包中,允许管理员通过配置文件(如`/etc/hosts.allow`和`/etc/hosts.deny`)来定义哪些远程主机可以连接到特定的服务。以下是关于TCP_Wrapper源代码的一些关键...
tcp-wrapper-country-filter:一种按国家/地区过滤IP的简单方法,以阻止或允许与SSH的连接
02-09
TCP封装以按国家/地区代码过滤 ... 该工具被开发用于ssh(sshd)连接,但是相同的原理和配置可以应用TCP包装程序支持的任何服务。 安全 使用TCP包装程序并不能消除对正确配置的防火墙的需求。 该脚本应
linux下配置vsftpd和虚拟用户.pdf
11-04
tcp_wrappers=YES guest_enable=YES guest_username=virtual_user pam_service_name=vsftp.vu user_config_dir=/etc/vsftpd/account ``` 7. **重启服务**:应用配置更改,重启VSFTPD服务: ``` # service ...
Ubuntu 下安装和配置 FTP服务器
09-15
- `tcp_wrappers=YES`:启用TCP包装器 用户列表文件`/etc/vsftpd.userlist`用于控制允许哪些用户登录FTP。默认情况下,如果`userlist_deny=YES`,则文件中列出的用户会被拒绝访问。若要反转此设置,允许文件中列出...
防火墙(四):TCP Wrappers服务
qq_43072797的博客
06-17 613
TCP Wrappers服务1、TCP Wrappers服务是什么?2、TCP Wrappers服务涉及到的文件和策略3、练习4、小问题 1、TCP Wrappers服务是什么? TCP Wrappers又称为"服务的访问控制列表",是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。 换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux系
网络/Network - TCP/IP协议栈 - 网络安全 - 防火墙/Firewall - 学习/实践
"代码"的日常搬运
04-01 4857
主要用于学习防火墙的种类,应用场景,如何使用防火墙为网络提供保护。
防火墙技术个人总结
最新发布
m0_68264225的博客
12-28 1122
概念:是不同安全域之间实施访问控制的一个系统或者一组系统。安全域:是一个或多个网络的组合,同一个安全域所包含的用户或者设备具有相同的安全属性。表现:是一组硬件和/或软件。作用:是不同安全域之间的唯一出入口,能根据安全策略控制(允许 、拒绝)出入网络的信息流。
TCP_Wrappers应用防火墙介绍与配置
Yick_Liao的专栏
05-01 5201
TCP_Wrappers简介:TCP_Wrappers是一个工作在应用层的安全工具,它只能针对某些具体的应用或者服务起到一定的防护作用。比如说ssh、telnet、FTP等服务的请求,都会先受到CP_Wrappers的拦截。 TCP_Wrappers工作原理:TCP_Wrappers有一个TCP的守护进程叫作tcpd。以telnet为例,每当有telnet的连接请求时,tcpd即会截获请求,先读取系
应用防火墙WAF解析
whoim_i的博客
04-04 2159
目录前言WAF是什么WAF的功能WAF的工作原理WAF的部署模式WAF的测试WAF的局限         ~~~~~~~~        因为想要面对一个新的开始,一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些,就不叫新的开始,而...
TCP Wrapper简易防火墙
阿瑾的博客
10-24 732
TCP Wrappers TCP Wrappers 简介 TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有:rpcbind、vsftpd、sshd、telnet。 判断方式: 查看对应服务命令所在位置which sshd 查看指定命令执行时是否调用libwrap.so文件
httpd和php结合的方式
wayne8910的专栏
07-07 2171
httpd与php结合的方式有以下三种: modules:php将以httpd的扩展模块形式存在,需要加载动态资源时,httpd可以直接通过php模块来加工资源并返回给客户端 httpd prefork:libphp5.so(多进程模型的php) httpd event or worker:libphp5-zts.so(线程模型的php) CGI:httpd需要加载动态资源时,通过CGI与php解释器联系,获得php执行的结果,此时httpd负责与php连接的建立和断开等 ...
"Run the following command to install `tcp_wrappers`: ``` # yum install tcp_wrappers ```"
06-06
# yum install tcp_wrappers ``` 这个命令会使用yum包管理器来安装TCP Wrapper软件。安装完成后,你可以通过编辑`/etc/hosts.allow`和`/etc/hosts.deny`文件来控制哪些主机或用户可以连接到你的服务器上的某些服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值