TCP_Wrappers防火墙配置

已于 2023-09-12 17:09:30 修改
阅读量1.8k 收藏 1
点赞数
分类专栏: 防火墙 RHEL7/8/9 文章标签: linux
于 2021-09-03 22:10:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/omaidb/article/details/120091222
版权
本文详细介绍了如何使用TCP_Wrappers实现防火墙功能,包括查看服务是否使用libwrapped库,配置允许和拒绝策略。在RHEL7中,TCP_Wrappers防火墙通过/etc/hosts.allow和/etc/hosts.deny文件控制访问,但RHEL8已不再支持此方式。配置完成后,策略会立即生效,无需重启。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问控制列表来实现防火墙功能

系统声明: RHEL7

防火墙优先级

  1. iptables优先级最高,是内核级别的
  2. firewalld 防火墙策略次之
  3. tcp_Wrappers防火墙优先级最低
  4. hosts.allowhosts.deny属于tcp_Wrappers防火墙的配置文件

TCP_Wrappers防火墙策略配置文件–从应用层配置防火墙策略

TCP_Wrappers防火墙服务的防火墙策略由两个控制列表文件所控制

  • /etc/hosts.allow允许文件,从这个文件中匹配到策略,就会放行
  • /etc/hosts.deny拒绝文件,从这个文件中匹配到策略,就会拒绝
    TCP_Wrappers防火墙服务可以控制外部IP对本机服务的访问

/etc/hosts.allow/etc/hosts.deny 只对调用了 tcp_wrappers 的程序才起作用,即该服务应用了libwrapped库文件。


1.查看程序/服务是否应用了libwrapped库文件

# 查看应用程序是否支持wrapper
# 用strings程序然后grep字符串hosts_access
strings /usr/sbin/sshd | grep hosts_access

在这里插入图片描述

# 查看某服务(如ssh)是否应用了libwrapped库文件的方法
ldd /usr/sbin/sshd |grep libwrap.so.0
## 没有显示,表示此服务器上安装的SSH没有应用libwrapped库文件,也就不能用tcp_Wrappers防火墙控制访问策略。

在这里插入图片描述


server_name(服务名)

service_name 『必需』i跟你的 xinetd 或者是 /etc/rc.d/init.d/* 里面的程序名称要相同。

service_name就是调用了libwrapped库文件的应用程序。


2.配置允许策略–示例

/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。

下面是一个/etc/hosts.allow的示例:

服务进程名主机列表(IP/网段)当规则匹配时可选的命令操作
ALL:ALL
sshd:127.0.0.1:allow(可以省略)
smdb:192.168.10.0/24
sshd:192.168.0. (最末位不写,表示一个网段)
telnetd,sshd:192.168.6. , 192.168.7.:allow
# 允许所有IP来源访问所有服务
ALL:ALL

允许127.0.0.1访问本地所有服务

#允许本机访问本机所有服务进程
ALL:127.0.0.1

允许指定IP访问指定服务

#允许192.168.0.网段的IP访问smbd服务
smbd:192.168.0.0/255.255.255.0

# 或
sshd:192.168.0.  # 最末尾不写,表示一个网段

## 192.168.6.100代表一个主机,192.168.6.代表整个网段。同理,ringkee.com代表一台主机,.ringkee.com代表ringkee.com域内的所有主机。

3.配置拒绝策略-示例

/etc/hosts.deny控制禁止访问本机的IP。

注意看,下方的示例总能:sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

# 拒绝所有IP访问sshd
sshd:all:deny

# 或
sshd:ALL

拒绝所有IP连接所有服务–白名单模式

# 拒绝所有IP连接所有服务
ALL:ALL

TCP_Wrappers防火墙配置完不需要重启,策略会立即生效

所以:当hosts.allowhost.deny冲突时,以/etc/hosts.allow设置为准

Linux 系统会

  1. 先检查/etc/hosts.deny拒绝规则,
  2. 再检查/etc/hosts.allow允许规则,如果有冲突 按/etc/hosts.allow允许规则处理

RHEL8没有hosts.allow和hosts.deny

RHEL8已经没有这两个文件,即使创建它也不起作用
RHEL8的程序已经不再调用tcp_wrappers,而TCP_Wrappers防火墙是基于tcp_wrappers的,应用不调用tcp_wrappersTCP_Wrappers防火墙就无法管理该程序。

在这里插入图片描述

查看RHEL8的sshd服务是否使用libwrapped库文件

# 查看Centos7的sshd服务是否使用libwrapped库文件
ldd /usr/sbin/sshd | grep libwrap.so

在这里插入图片描述

# 查看RHEL8的sshd服务是否使用libwrapped库文件
ldd /usr/sbin/sshd | grep libwrap.so

# 不调用tcp_wrappers,TCP_Wrappers防火墙就无法管理该程序

在这里插入图片描述

Linux如何启用tcp_wrappers防火墙
weixin_33724046的博客
01-12 911
Tcp_Wrappers 是一个用来分析 TCP/IP 封包的软件,类似的 IP 封包软件还有 iptables。Linux 默认都安装了 Tcp_Wrappers。作为一个安全的系统,Linux 本身有两层安全防火墙,通过 IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意***,保护整个系统正常运行,免遭...
TCP_Wrappers实现访问控制
qq_39526788的博客
09-17 978
作者:Wieste Venema,IBM。 TCP_Wrappers可以对有状态连接的特定服务进行安全检测并实现访问控制,类似起到防火墙的功能,然而并不是所有的应用都是使用TCP_Wrappers的,所以管理是有限制的, TCP_Wrappers是工作在第四层(传输层)的TCP协议,某进程是否接受libwrap的控制取决于发起此进程的程序在编,译时是否针对libwrap进行编译的,判断服务程序是
tcp_wrappers-7.6-77.el7.x86_64.rpm
11-30
离线安装包,亲测可用
TCP Wrappers配置(下)。
weixin_34126215的博客
03-29 123
    在上图所示内容是/etc/hosts.allow中配置的一个例子,其中。 ①:阻止192.168.0.0/24网段的所有客户端访问本机的telnet服务。 ②:允许192.168.0.0/24网段的所有客户端访问本机的ssh服务。如果在/etc/hosts.deny中没有定义任何与sshd相关规则的情况下此配置没有意义,因为根据TCP Wrappers规则生效的原则,假设有一个IP...
TCP_Wrapper防火墙的安装与配置
JXH_123的专栏
05-14 1430
说明:本文转自 http://www.yesky.com/493/197493.shtml TCP_Wrapper软件包是一种基于TCP/IP协议之上的、运行于UNIX/Linux系统、基于访问控制技术的一种网络防火墙软件。它使用C语言编写。软件功能是提供访问控制机制和记录网络服务。需要特别指出的是,它是一种提供源代码的软件,用户仅需在自己的系统上编译并简单配置即可。它不仅支持Linux,而且还
ssh的 TCP_Wrapper和PAM安全模块----->配置,ulimit命令
weixin_45697293的博客
02-02 725
一. TCP_Wrappers介绍 前提得支持libwrap.so库,不然没用 作者:Wieste Venema,IBM,Google 工作在第四层(传输层)的TCP协议 对有状态连接的特定服务进行安全检测并实现访问控制 以库文件形式实现 某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的 判断服务程序是否能够由tcp_wrapper进行访问控制的方法: 查看软件是否支持TCP_wrappers ldd /PATH/TO/PROGRAM|grep libwrap
tcp_wrappers防火墙介绍
iteye_5722的博客
11-18 255
一 查看系统是否安装了tcp_wrappers 如果有上面类似输出,表示已经安装了tcp_wrappers模块。如果没有显示,可能没有安装,就需要通过yum或者rpm工具进行安装。  二 tcp_wrappers防火墙的局限性 系统中的某个服务是否使用了tcp_wrappers防火墙,取决于服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙,系...
TCP Wrappers防火墙介绍与封锁IP地址的方法
01-20
Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙...
如何在 yum 中添加 tcp_wrappers 镜像源
最新发布
09-25
在 CentOS 或者 RHEL 系统中使用 `yum` 安装 `tcp_wrappers`,通常不需要专门添加镜像源,因为 `tcp_wrappers` 是系统自带的一个防火墙工具包,你可以直接通过默认的 yum 源获取它。以下是安装步骤: 1. 打开终端并...
2、TCP Wrappers(简单防火墙
Tiamon_的博客
10-12 2048
TCP Wrappers 简介 TCP_Wrappers 是一个工作在第四层(传输层)的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式凡是调用 libwrap.so 库文件的程序就可以受 TCP_Wrappers 的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。 判断方式: 查看对应服务命令所在位置 [root@test ~]# which sshd /usr/sbin/sshd ...
tcp_wrappers-libs-7.6-77.el7.i686.rpm
12-26
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
vsftpd匿名连接:报错500 OOPS: tcp_wrappers is set to YES but no tcp wrapper support compiled in
Dontla的博客
08-23 4334
(这个具体步骤可参考vsftpd作者源码包中提供的INSTALL文件)1、注释掉vsftpd.conf中的tcp_wrappers=YES。2、编译vsftp之前先修改一下文件。使能支持TCP WRAPPERS了。但可能还会引发其他问题,慢慢解决吧。
安装VSFTPD后, FTP连接抛OOPS: tcp_wrappers is set to YES but no tcp wrapper support compiled in
打杂人
08-19 8199
状态:> [2020/8/19 16:36:53] 正在获取清单 ""... 状态:> [2020/8/19 16:36:53] 正在连接到 FTP 服务器... 119.29.***.***:21 (ip = 119.29.***.***)... 状态:> [2020/8/19 16:36:53] 已连接套接字。正在等待欢迎信息... [2020/8/19 16:36:53] 500 OOPS: tcp_wrappers is set to ...
tcpwrapper防火墙
feilong0663的专栏
07-02 1216
tcpwrappers防火墙) --过滤TCP包头(/usr/sbin/tcpd) 控制文件: 规则 匹配顺序: tcp-->tcpwrappers-->hosts.allow--> hosts.deny,默认情况下这两个文件是空的,规则马上写马上生效. 1、如果在hosts.allow能够匹配到相应的规则,则允许,匹配到此结束。 2、如果在hosts.allow匹配不到相应规
Tcp-wrapper安装与设定
在水一方
02-13 2676
 Tcp wrapper 是Wietse Venema 的大作。  Tcp wrapper 可说是所有连接上网路的主机都必须安装的基本软体。它具备了了管制进入者的功能,例如可限制那些机器、人方才可以使用本系统,那些顽皮的小孩或「邪恶」的机器,一概不提供Services。另一方面,tcp wrapper 也具有颇不错的记录功能 (至少比厂商的阳春记录功能强许多) ,可以记录那时候甚麽人进来了。因此,
TCP wrappers】关于/etc/hosts.allow /etc/hosts.deny
michaelwoshi的博客
11-17 5840
一、关于/etc/hosts.allow /etc/hosts.deny 遇到一台服务器22端口正常,可是用SSH连接却有问题。 报错:ssh_exchange_identification: read: Connection reset by peer 排查了防火墙和端口,半天没发现问题,查询得知经过etc目录下hosts.deny和hosts.allow文件能够限制远程访问。 我们可以通过配置hosts.allow和hosts.deny来控制访问权限。 他们两个的关系为:/etc/hos.
防火墙的基本概念(1)TCP/IP协议
MSB_WLAQ的博客
09-27 2188
OSI标准将网络分为七层,而TCP/IP标准仅把网络分为四层。不过,我们只需要了解TCP/IP的标准即可。 TCP/IP协议自上而下分为应用层、传输层、网络层、链路层。
tcp_wrapper知识整理
weixin_33991727的博客
09-29 354
tcp_wrapper知识整理一、tcp wrapper简介tcp wrapper是一种访问控制工具,类似于iptables可以作访问控制。tcp wrapper只能对基于tcp协议的服务作访问控制,但并不是所有基于tcp协议的服务都能实现用tcp wraper作访问控制。tcp wrapper实现访问控制主要依靠两个文件,一个是/etc.hosts.allow文件,另...
tcp wrapper
stonesharp的专栏
08-07 1003
ftp://ftp.porcupine.org/pub/security/File:tcp_wrappers_7.6.tar.gz
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值