linux: 使用TCP Wrappers构建简单的防火墙
TCP Wrappers可用于配置基于程序名的过滤配置
要配置TCP Wrappers,只要修改/etc/hosts.allow和/etc/hosts.deny即可
比如
[root@www ~]# vim /etc/hosts.allow
ALL: 127.0.0.1 #本机所有访问都允许
httpd: 10.0.0.100 #只允许这个IP访问httpd
另外,hosts.allow是白名单,hosts.deny是黑名单,两个同时用,怎么回事? 实际的规则是(鸟哥的原话):
1. 先以 /etc/hosts.allow 为优先比对,该规则符合就予以放行;
2. 再以 /etc/hosts.deny 比对,规则符合就予以抵挡;
3. 若不在这两个档案内,亦即规则都不符合,最终则予以放行。
最后要注意,TCP Wrappers并不支持对任意程序的配置。它主要用于httpd, ssh, vsftpd等服务。