Linux 防火墙之TCP Wrappers

 

1、TCPWrappers  原理

Telnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCPWrapper,它被设计为一个介于外来服务请求和系统服务回应的中间处理软件。

 

 

基本处理过程

当系统接收到一个外来服务请求的时候，先由TCP Wrapper处理这个请求，TCP Wrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限，

如果有，TCPWrapper将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作，然后自己就等待下一个请求的处理。

 

查看一个服务是否支持tcp_wrapper

在Linux系统中有许多服务，包括基于System V服务、基于Xinetd服务。其中 基于Xinetd的服务都是支持tcp_wrapper，因为xinetd服务本身就支持tcp_wrapper。而只有一部分的System  V服务支持tcp_wrapper，如：sshd、vsftpd等。

用户可以通过下面的两种方式得知某服务是否支持tcp_wrapper。

• strings  可执行工具路径｜ grep [tcp_wrappers|hosts_access]
• ldd   可执行工具路径｜grep libwrap

 

[root@natsha ~]# ldd /usr/sbin/sshd |grep libwrap

        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f97ecca5000)

 

2、TCPWrappers规则定义

在TCPWrappers中通过/etc/hosts.allow和/etc/hosts.deny配置规则允许或阻止指定客户端对指定服务的访问，修改保存此文件后配置无需重启服务立即生效。

 

在/etc/hosts.allow和/etc/hosts.deny文件定义规则的方法采用以下格式：

 

Daemon_list@Host: Client_list [ :Options :Option… ]

 服务：客户端   [:选项]

（1）服务：指定TCPWrappers需要控制的服务名称。如果是SystemV服务直接指定服务名称。如果是超级服务必须指定超级服务的启动脚本名称。【也就是后台】

 

后台进程应该是服务的可执行工具名

例如：telnet-server服务的可执行工具是in.telnetd，因此在/etc/hosts.allow及/etc/hosts.deny中应该写in.telnetd，而不是telnet或telnetd。

   

（2）客户端：指定TCPWrappers需要控制哪些客户端对指定服务的访问。指定客户端方法如下：

单一主机：IP

指定网段：IP/24

指定DNS后缀：example.com

指定FQDN:client.example.com

指定所有客户端：ALL

                    

 （3）选项：包括allow、deny以及一些其他参数。推荐不使用/etc/hosts.deny文件配置。

 需要阻止操作时，直接在/etc/hosts.allow中使用deny动作。        

 

 

选项中其他参数

A、执行外部命令

可以使用spawn参数让TCPWrappers执行一些外部命令。日志文件：/var/log/example.log

 

sshd,in.telnetd:192.168.111.:spawn echo "`date +'%%F %%T'` login from client: %c to %d">>/var/log/tcpwrap.log

 

            TCPWrappers变量

             %c                访问的客户端信息（user@host）

             %s             访问的服务器端信息（server@host）

             %h                访问的客户端的FQDN（如果可以DNS反向解析）

             %p                服务器PID

      

B、  排除

  在/etc/hosts.allow和/etc/hosts.deny中指定客户端时，可使用EXCEPT参数在一个范围内排除指定客户端。

 

#禁止172.16.0.0/16网络访问我，排除172.16.100.0/24和172.16.100.1之外

            vsftpd: 172.16. EXCEPT 172.16.100.0/24 EXCEPT 172.16.100.1

 

3、tcp_wrapper访问控制判断顺序

如果同时在“hosts.allow”与“hosts.deny”配置了某个相反的限制，那么最终以哪一个文件为准呢？

tcp_wrapper中有访问控制判断顺序明确规定：

• 访问是否被明确许可，如果是则直接通过。
• 否则才会判断访问是否被明确禁止，如果是则禁止通过。
• 如果都没有，默认许可。

 

 

 

4、配置实例

 

 

#仅仅仅仅允许192.168.1.0/24的主机访问sshd

 vim /etc/hosts.allow

    sshd: 192.168.1.0

 vim /etc/hosts.deny

    sshd: ALL

 

 

只允许192.168.1.0/24的主机访问telnet和vsftpd服务  

/etc/hosts.allow

vsftpd,in.telnetd: 192.168.1.

/etc/host.deny

vsftpd,in.telnetd: ALL

 

 

另外：
deny 主要用在/etc/hosts.allow定义“拒绝”规则

    如：vsftpd: 172.16. :deny

 

allow 主要用在/etc/hosts.deny定义“允许”规则

    如：vsftpd:172.16. :allow