linux配置tcp封裝器
作者:佚名 時間:2014-11-16 分享到:
tcp封裝器功能類似于防火墻,區(qū)別在于防火墻是基于數(shù)據(jù)包中ip頭的數(shù)據(jù)判斷放行或拒絕,而tcp封裝器只能過濾對運行于本地主機上的服務的訪問,編譯時添加了libwrap.a庫文件的服務程序可以利用tcp封裝器,tcp封裝器激活后,當試圖訪問某服務時,就會先后與/etc/hosts.allow和/etc/hosts.deny相比較,按順序檢查每條規(guī)則,直到遇到相匹配的規(guī)則就停下來,例如,如果希望只有來自linksj.com的連接能連接到堡壘主機ssh,而拒絕所有其他連接,則應用在hosts.allow和hosts.deny兩個文件中加入下面的內容:
/etc/hosts.allow
sshd:.linksj.com
/etc/hosts.deny
sshd:all
在這兩個文件中可以使用通配符,如all,local,known,unknown和paranoid,在規(guī)則文件中也可以實現(xiàn)激活日志,并對日志入口項做配置,tcp封裝器功能有限語法簡單,讀者可能會想為什么要用它而不用linux防火墻iptable呢?這是由于iptables作用于數(shù)據(jù)包的級別,如果希望拒絕對特定進程的訪問,如http,那么只能對端口號下手,如果用iptables阻塞了通過端口80的連接,而用戶卻用端口8080開啟web服務,則通過端口8080的連接是允許的,使用tcp封閉器時,呆以允許或拒絕對進程的訪問,當面臨某個服務要很多端口,或某種服務會按需繁殖而端口號不固定,或某個數(shù)據(jù)包在另一個協(xié)議的通道中傳輸從而無法用商品號來識別的情況時,tcp封裝器的作用就顯得彌足珍貴.
如沒特殊注明,文章均為上海聯(lián)楷網(wǎng)絡原創(chuàng),轉載請注明來自:http://www.ktcbnqb.cn/hynews/20151126/n3519.html
