配置TCP Wrappers时的两个原则

导读	本文为您介绍配置TCP Wrappers时应注意的两个原则，希望能帮助到您。

TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序，它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。换句话说，Linux系统中其实有两个层面的防火墙，第一种是前面讲到的基于TCP/ip协议的流量过滤工具，而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙，从而在更高层面保护了Linux系统的安全运行。

TCP Wrappers服务的防火墙策略由两个控制列表文件所控制，用户可以编辑允许控制列表文件来放行对服务的请求流量，也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效，系统将会先检查允许控制列表文件，如果匹配到相应的允许策略则放行流量；如果没有匹配，则去进一步匹配拒绝控制列表文件，若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到，则默认放行流量。

在配置TCP Wrappers服务时需要遵循两个原则：

• 编写拒绝策略规则时，填写的是服务名称，而非协议名称；
• 建议先编写拒绝策略规则，再编写允许策略规则，以便直观地看到相应的效果。接下来，在允许策略规则文件中添加一条规则，使其放行源自192.168.10.0/24网段，访问本机sshd服务的所有流量。可以看到，服务器立刻就放行了访问sshd服务的流量。Linux就该这么学