TCPWrap的使用配置

参考地址：

http://www.softpanorama.org/Net/Network_security/TCP_wrappers/index.shtml

http://generationip.com/documentation/mini-howto/116-howto-on-tcp-wrapper

1 TCPWrap简介

TCPWarp是一种基于主机的网络访问系统，用来过滤网络接入Internet协议服务器（Unix）操作系统如Linux或BSD。它允许主机或子网的IP地址，名称和/或识别查询的回答，作为标记，对于访问控制过滤器。

只有使用了tcpwarp.so文件的才能使用tcpwarp做权限控制。

可以使用ldd查看是否warp库

ldd /usr/sbin/sshd | grep libwrap

2 配置文件

与TCPWarp有关的文件就是/etc/hosts.allow,/etc/hosts.deny

系统先根据allow文件判断，如果匹配到规则就不用再去判断deny文件了。

allow文件没有匹配到规则，就去判断deny文件。

如果都没有匹配到使用默认的规则。

3 配置格式

daemon list : client list [:option[:option]]

例如

in.telnetd(进程名字) : 10.0.0.66 :allow

详细的帮助文档，可以使用命令查看 man hosts_access

4 统配模式

• .tue.com可以包含wzv.win.tue.com
• 192.168.可以包含所有192.168.0.0至192.168.255.255。
• 192.168.0.0/255.255.255.0  和192.168.0.0/24 可以包含192.168.0.0至192.168.255.255。centos6不支持192.168.0.0/24 格式，centos7可以。
• 通配符"*"和"?"可以用于匹配的主机名或IP地址。这种匹配方法不能用于连接网络/掩码匹配，主机名匹配的开始'，'或IP地址结尾的匹配。

5 样例

样例1

我的ip是192.168.137.1  设置主机可以使用192.168.137.2来ssh远程， 其他的ip一律不可以

vim /etc/hosts.allow 加入 sshd:192.168.137.2 行

vim /etc/hosts.deny 加入sshd:ALL

样例2

服务器机器上有2个ip，一个内网(ip为192.168.137.1），一个外网ip，只能通过192.168.137.0/24来ssh远程，且只能远程内网ip，其他情况都不允许

vim /etc/hosts.allow 加入 sshd@192.168.137.1:192.168.137.0/24 行

vim /etc/hosts.deny 加入sshd:ALL

样例3

有连接连接ssh的时候记录日志信息

vim /etc/hosts.allow 加入   sshd:172.18.0.0/255.255.0.0:spawn echo `date "+%%F %%T"` %c %s %u > /var/log/tcpwrap.log