Linux配置TCP封装器

时间：2014-11-16

   TCP封装器功能类似于防火墙,区别在于防火墙是基于数据包中IP头的数据判断放行或拒绝,而TCP封装器只能过滤对运行于本地主机上的服务的访问,编译时添加了libwrap.a库文件的服务程序可以利用TCP封装器,TCP封装器激活后,当试图访问某服务时,就会先后与/etc/hosts.allow和/etc/hosts.deny相比较,按顺序检查每条规则,直到遇到相匹配的规则就停下来,例如,如果希望只有来自lifacai.cn的连接能连接到堡垒主机SSH,而拒绝所有其他连接,则应用在hosts.allow和hosts.deny两个文件中加入下面的内容:
/etc/hosts.allow
  sshd:.lifacai.cn
/etc/hosts.deny
  sshd:ALL
  在这两个文件中可以使用通配符,如ALL,LOCAL,KNOWN,UNKNOWN和PARANOID,在规则文件中也可以实现激活日志,并对日志入口项做配置,TCP封装器功能有限语法简单,读者可能会想为什么要用它而不用Linux防火墙IPTable呢?这是由于IPTables作用于数据包的级别,如果希望拒绝对特定进程的访问,如HTTP,那么只能对端口号下手,如果用IPTables阻塞了通过端口80的连接,而用户却用端口8080开启web服务,则通过端口8080的连接是允许的,使用TCP封闭器时,呆以允许或拒绝对进程的访问,当面临某个服务要很多端口,或某种服务会按需繁殖而端口号不固定,或某个数据包在另一个协议的通道中传输从而无法用商品号来识别的情况时,TCP封装器的作用就显得弥足珍贵.