TCP Wrapper简易防火墙

本文涉及的产品
云防火墙,500元 1000GB
访问控制,不限时长
简介: TCP Wrapper简易防火墙

TCP Wrappers

TCP Wrappers 简介

TCP_Wrappers是一个工作在第四层(传输层)的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap.so库文件的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有:rpcbind、vsftpd、sshd、telnet。

判断方式:

  1. 查看对应服务命令所在位置which sshd
  2. 查看指定命令执行时是否调用libwrap.so文件
ldd /usr/sbin/sshd | grep libwrap.so

TCP Wrappers 工作原理

以ssh为例,每当有ssh连接请求时,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制列表中的设置,则会中断连接请求,拒绝提供ssh服务。

  1. 优先查看hosts.allow,匹配即停止
  2. 允许个别,拒绝所有:hosts.allow文件添加允许策略,hosts.deny文件添加all
  3. 拒绝个别,允许所有:hosts.allow文件为空,hosts.deny文件添加单个拒绝的策略

TCP Wrappers 的使用

TCP_Wrappers的使用主要依靠两个配置文件/etc/hosts.allow,/etc/hosts.deny,以此实现访问控制,默认情况下,/etc/hosts.allow,/etc/hosts.deny什么都没有添加,此时没有限制

配置文件编写规则:

service_list@host:client_list

service_list:是程序(服务)的列表,可以是多个、多个时使用,隔开

@host:设置允许或禁止他人从自己的哪个网口进入。这一项不写,就代表全部。

client_list:是访问者的地址,如果需要控制的用户比较多,可以使用空格或,隔开

ALL:所有的服务或IP

ALL EXCEPT:除去指定服务或IP后的所有服务或IP

实验

1. # 通过ALL EXCEPT配置除了192.168.64.5这台服务器,任何服务器执行所有服务时被允许或拒绝
2. 
3. ALL : ALL EXCEPT 192.168.64.5
4. 
5. # 在规则中使用通配符,匹配192.168.64.x网段中所有主机访问当前服务器和域名满足以test.com结尾即可访问当前服务器
6. 
7. sshd : 192.168.64.*,*.test.com

TCP_Wrapper动作的进阶使用

1. # spawn:先执行后续命令,执行完后远程服务器会等待5秒重置连接的时间
2. 
3. # twist:先执行后续命令,执行完后立刻断开与远程服务器的连接
4. 
5. 
6. # 设置拒绝远程服务器登录后,给root用户发送安全提示邮件
7. 
8.  vi etc/hosts.deny
9. 
10.  sshd : ALL: spawn (echo "Security notice from host $(/bin/hostname)" | bin/mail -s "reject %d-%h ssh" root)
11. 
12. #sshd : ALL : twist (echo "Security notice from host $(/bin/hostname)" | bin/mail -

 

HTML 1424 字节 88 单词 55 行

相关文章
|
网络协议 Linux 网络安全
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之二——防火墙
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之二——防火墙
596 0
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之二——防火墙
|
网络协议 网络安全
TCP连接与防火墙
通常,我们的Tcp服务器会放在IDC机房的某一个或几个防火墙后面,客户端与服务器之间的TCP连接会经过防火墙中转,如下图所示:          在这种情况下,有一点特别需要注意:当Firewall与Server之间的Tcp连接在一段时间(如10分钟)内没有任何应用层的消息经过时,Firewall可能会主动断开与Server之间的Tcp连接,但是Client与Firewall之间的连接一直是有效的。
934 0
|
网络协议 网络安全 数据库
通过配置Windows 防火墙允许使用TCP/IP协议远程访问数据库
原文: 通过配置Windows 防火墙允许使用TCP/IP协议远程访问数据库 本文适用于:2005、2008、2008R2所有版本 为了可以通过TCP/IP协议远程访问SQLServer数据库,需要做以下几点: 在SQLServer所运行的服务器上,我们必须找到SQLServer所侦听的端口然后添加到WIndows防火墙的【允许入站】中。
1613 0
|
3月前
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
|
2月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
230 73
|
7天前
|
存储 运维 Linux
Linux防火墙firewall的使用
CentOS 7 中的 firewalld 是基于 Netfilter 的防火墙服务,支持动态配置,无需重启服务即可生效。它通过区域管理网络流量,每个区域可以设置不同的防火墙规则。默认区域为 public,可以通过命令行工具 firewall-cmd 进行管理和配置。firewalld 提供了丰富的预定义服务和区域,方便用户根据需求进行灵活配置。
22 0
|
3月前
|
Linux 网络安全
linux关闭方防火墙的命令
linux关闭方防火墙的命令
81 2
|
4月前
|
网络协议 Linux 网络安全
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作
在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作