一、常用的主机访问控制工具

独立(stand alone)守护进程(httpd,vsftpd)、瞬时(transient)守护进程(rsync,tftp,telnet), 这两类守护进程都支持基于iptables进行控制。哪一端口运行客户端访问，哪一端口不允许客户端访问，基于主机做防火墙时，都能进行控制。

做主机防火墙时，有些瞬时守护进程，甚至是某些独立独立守护进程，还能够接受另一种方式，tcp_wrapper，来控制。

在众多的基于主机的安全访问控制中，tcp-wrapper是简单而易于配置的一种。

在linux下能实现基于主机访问控制的常用工具有三个：iptables、tcp_wrapper、xinetd(超级守护进程)。

二、tcp_wrapper简介

显而易见，只能控制tcp协议下的软件。

工作进程为：tcpd

工作在tcp包文所要经过的位置上，有且只有一个位置。工作于tcp协议层，比工作在网络层的iptables更高一层，因此可以和iptables结合使用。但tcp_wrapper的控制完成之后，iptables就无需控制了，同理，iptables控制完成之后，tcp_wrapper也就无需控制了。二者可以有一个能完成控制就可以了。

iptables既然能完成工作，为什么还需要tcp_wrapper呢？因为tcp_wrapper的配置非常简单。

配置文件：/etc/hosts.allow,/etc/hosts.deny

但是并非所有服务都能接受tcp_wrapper的控制，事实上，tcp_wrapper与其说是一个服务，不如说是一个库更合适。因为所有的守护进程，都是工作在用户空间的，所以与其说tcp_wrapper是一个守护进程，不如说是一个库更合适。

所有的服务都能接受iptables控制，但并非所有都接受tcp_wrapper控制。只有用户在开发某个程序时，如果链接到这个库上，或者说依赖于这个库，就意味着他他是接受tcp_wrapper控制的。

三、使用tcp_wrapper控制

a).只需将受控制程序名写入配置文件即可实现控制：

允许访问：/etc/hosts.allow

拒绝访问：/etc/hosts.deny

b).控制原理

程序链接的库文件，会自动在用户访问服务时，基于tcpd检测

/etc/hosts.allow、/etc/hosts.deny两个配置文件，并判断某一主机是否能够访问服务。

c).匹配机制

1.先检查/etc/hosts.allow,如果被允许，则直接放行；

2.如果/etc/hosts.allow没有匹配项，则检查/etc/hosts.deny；如果有匹配项则禁止访问；

3.如果均无匹配，则默认放行。

d).配置文件语法格式

daemo_list:client_list [:options]
daemon_list：一定是应用程序名，不是进程名；如果有多个，则用逗号隔开；如果匹配所有，则用ALL；
client_list:IP地址：172.16.100.100主机名称：www.magedu.com网络地址/子网掩码：（子网掩码只能使用长格式）简短格式：如：172.16. 表示 172.16.0.0/255.255.0.0
[:options]deny     使在hosts.allow中选项denyallow    使在hosts.deny中选项allow这样的机制可以让我们只需写一个配置文件就可以将所有配置搞定例： vim /etc/hosts.allowin.telnetd: ALL EXCEPT 172.16.251.105 :denyspawn     发起执行一条命令，比如：如果有人访问访问服务器，别拒绝了，这通常是一种恶意访问，或非正常访问，就可以使用spawn echo一些命令保存至日志中vim /etc/hosts.allowin.telnetd: 172.16 EXCEPT 172.16.251.105 vim /etc/hosts.denyin.telnetd: ALL : spawn echo `date` login attempt from %c to %s >> /var/log/tcp_wrapper.log     %c:user@host%s:server@host%h:客户端主机名   %p:服务器上的进程PID获取完整帮助信息：man 5 hosts_access注意：echo的信息无需加引号，否则命令替换不会进行

e).tcp_wrapper有几个内置的宏(Macro)

用于client_list的有：ALL，NONE,UNKNOW(主机名无法解析的地址)，          PARANOID(正反向解析不匹配的地址)
用于daemon_list的有：ALL
两者都可以都可以用：EXCEPT （排除）例： vim /etc/hosts.allowin.telnetd: 172.16. EXCEPT 172.16.251.105

f).事例

如果我们要定义仅放行某一网段，则定义/etc/hosts.allow放行网段，在/etc/hosts.deny定义拒绝所有主机。

演示控制：telnet

yum install telnet-serverldd `which in.telnetd`  没有显示ldd `which xinetd`   显示有，telnet自己本身不监听程序，而是由xinetd监听，所有它是接受tcp_wrapper控制的。chkconfig telnet onservice xinetd startss -tnl | grep 23仅放行172.16网段：vim /etc/hosts.allowin.telnetd:     172.16.vim /etc/hosts.denyin.telnetd:     ALL不用重启，立即生效，因为工作在内核中的，和iptables一样立即生效

总结：

tcp_wrapper确实非常简单而又易于配置。尤其是控制ftp服务时，强烈推荐，因为基于iptables的访问控制与tcp_wrapper相比，真的太复杂了。