2015-01-30
978
Фильтрация входящего трафика может осуществляться службой tcpd, которая использует конфигурационные файлы /etc/hosts.allow и /etc/hosts.deny. Базовый синтаксис данных файлов следующий (изучение всех возможностей выходит за рамки данного курса):
<служба>:<сеть или хост>
Например:
ftpd:192.168.10.0/24
sshd:172.22.18.33
ALL:ALL все службы, все сети и все хосты
При поступлении входящего пакета на уровень IP, служба tcpd просматривает строчка за строчкой файл /etc/hosts/allow, который содержит список явно разрешенных подключений извне. Если находится совпадение, то пакет принимается. Если совпадений не обнаружено, то подобным образом просматривается файл /etc/hosts.deny. Но в данном случае, при обнаружении совпадения, пакет отбрасывается. Если и здесь совпадений не обнаружено, то пакет принимается.
Таким образом, первоначально пустые файлы /etc/hosts.allow и /etc/hosts.deny соответствуют отключенной фильтрации. Если файл /etc/hosts.allow пустой, а файл /etc/hosts.deny заполнен, то имеет место политика черных списков, т.е. разрешено все, что не запрещено явно Если файл /etc/hosts.allow не пустой, а файл /etc/hosts.deny содержит только ALL:ALL, то имеет место политика белых списков, т.е. запрещено все, что не разрешено явно.
|
|
|
iptables осуществляет фильтрацию на уровнеслужб: служба или доступна всем или недоступна никому. А конфигурационныефайлы /etc/hosts.allow и /etc/hosts.deny позволяют управлять доступом на уровне сетейили отдельных хостов.
Следует помнить, что служба tcpd, обрабатывает входящие пакеты только тех служб прикладного уровня, которые спроектированы и скомпилированы с поддрежкой данной службы, т.е. если этого нет, то служба данная принимает пакеты напрямую, не обращаясь за помощью к tcpd, и содержимое файлов /etc/hosts.allow и /etc/hosts.deny игнорируется.
