tcp 的限制 （TCP_WRAPPERS）

#江南的江

#每日鸡汤：青春是打开了就合不上的书，人生是踏上了就回不了头的路，爱情是扔出了就收不回的赌注。

#初心和目标：拿到高级网络工程师

TCP_WRAPPERs

Tcp_wrappers 对于七层模型中是位于第四层的安全工具，他的作用是用来控制访问列表，也就是限制访问，例如你用什么tcp相应的协议的服务，他就可以控制访问。

虽然他的作用和防火墙很像，但不同点在于，他只限制tcp协议有关的服务的访问。例如ssh telnet vsftpd等。

下面是他的工作原理：

文字叙述：首先我们得了解tcp在进行三次握手后，会对主机进行什么样的操作，首先主机利用ssh服务我们来进行讨论，在主机被连接时，他会相应的扫描对应于ssh 服务的动态链接库，其中一个为libwrap 的动态链接库起到了网络编辑和管理的作用，那么他就是tcp_wrappers管理的重点，如果主机的ssh 服务存在与libwrap库的依赖关系，那么就会受到tcp_wrappers 的管辖，反之则不受控制但接受访问，在在服务对于libwrap有依赖时，那么开始对于/etc/hosts.allow，和/etc/hosts.deny进行检查，如果在hosts.allow 存在访问此机的ip那么毋庸置疑，直接跳过host.deny给予访问。如果没有那么再对host.deny，进行检查，如果再hosts.deny中包含当前访问本机的ip，拒绝访问，那么如果两个文件都没有

这就等于并没有使用TCP_wrappers对目标进行限制

下面是他的工作原理的思维线路图：

那么理解了他的原理，如何更好的使用tcp_wrappers 来对我们的computer 进行更好的保护呢？那么就要会运用他的关联文件/etc/hosts.allow /etc/hosts.deny

/etc/hosts.allow直接通过文件（白名单）

<服务名>:要限制的主机IP

/etc/hosts.deny禁止访问的文件（黑名单）

<服务名>:要限制的主机IP:deny

以上两个文件支持通配符或者”ALL”

例子：

如果我要让我ssh服务不被任何人访问

sshd:ALL:deny