好了!基础的防火墙设备已经 OK 了!接着下来,我们要来探讨一下在 iptables 封包过滤完成之后,并且进入主机后,接下来的这一层 TCP_Wrappers !呵呵!他其实也很简单啦!相关的语法你可以先参考一下 认识网络安全 里面的说明,这个地方由于是在 iptables 之后,所以呢,我们可以针对可以进入主机的封包来进行控制!举个例子来说,像是 FTP 好了!当一个 TCP 封包进入我们的主机时:
1. iptables 会先去检验相关的设定,由上面的范例来看,来自 Internet 上面的封包将会被抵挡下来,而唯一能够进入的网段为内部的 192.168.1.0/24 这一个私有网段;
2. 来自内部私有网段关于 FTP 的封包进入后,开始来到 TCP_Wrappers 的分析,由于我们不会开放全部的人进入,假设只有 192.168.1.1~192.168.1.3 可以进入取用 FTP 的服务,所以就需要设定 /etc/hosts.allow 及 /etc/hosts.deny 的设定了!
大致上便是如此!此外,以 SSH 为例,如果你只想要让『信任的主机』登入的话,那么也可以在里头进行规划!好了!这里我们以私有网段 192.168.1.0/24 可以取用 Telnet 及 FTP 的 hosts 有 192.168.1.2, 192.168.1.10, 192.168.1.20 这三部计算机,及来自 Internet 上面可以取用 SSH 的主机为 xxx.yyy.zzz.qqq 这个主机,及 192.168.1.0/24 全部的计算机!则你的两个档案可以写成这样:
 |
其中,还有更高竿的 /etc/hosts.deny 的写法,这是关于当有来自不明人士的 touch 时,会被记录下来该 IP 的方法啦!
 |
如此一来,当有来自非你所规定的合法 IP 试图以 telnet, ftp 及 ssh 联机你的主机时,系统就会将该 IP 寄一份资料给 root 来留文件!不过,这有个伤脑筋的地方,万一该 IP 最后成功的登入你的主机之后,可能会将 root 的信箱砍掉,导致这个作用就没有效果了!所以,这个时候,请你将上面 root@localhost 改成另一个非主机的信箱来收信!这样会比较有安全上的保障啦! ^_^这个咚咚一设定完毕立刻就生效了!所以不用去理他也没关系!但是要随时注意一下你的设定是否正确呦!
