TCP_wrapper

tcp_wrapper（一个网络访问控制模块）是在数据包到主机后的第二层处理机制，在iptables之后，但配置比iptables简单，功能也更加强大。但是效率不高，所以一些对效率高的程序不建议使用

语法：

daemon_list ： client_list ：command

例如：当192.168.1.100 ssh连接我时就在log文件中写入一条hello

sshd : 192.168.1.100 : spawn echo "hello" > log

tcp_wrapper根据这两个文件来判断一个数据包是否合法

/etc/hosts.deny 

/etc/hosts.allow

判断顺序如下

1、出现在hosts.allow文件中——> 合法 并终止判断

2、出现在hosts.deny文件中——> 非法 并终止判断

3、2个文件中都没有出现（默认情况） ——> 合法

例子：

示例1：拒绝所有人除了192.168.0.*网段进行ssh访问:

在hosts.deny中加入

sshd : ALL except 192.168.0.

如果我的ip不是192.168.0.* 网段，则会出现如下错误

joy@joy:~$ ssh root@192.168.0.11

ssh_exchange_identification: read: Connection reset by peer

示例2：拒绝所有人对所有服务的访问，只开放个别例子

1、拒绝所有人对所有服务的访问

在hosts.deny中加入

ALL : ALL : spawn echo "`date` %d on %A" >> /var/log/deny.log

2、开放个别记录（允许192.168.0网段的人访问ssh）

在hosts.allow中加入

sshd : 192.168.0. : spawn echo "`date` %a access for your %A" >> /var/log/deny.log