TCP Wrappers 방화벽 소개 및 IP 주소 봉쇄 방법

Tcp_Wrappers 는 TCP/IP 패 키 지 를 분석 하 는 소프트웨어 입 니 다.이와 유사 한 IP 패 키 지 는 iptables 도 있 습 니 다.Liux 는 기본적으로 이 소프트웨어 를 설 치 했 습 니 다.안전 한 시스템 으로서 Linux 자체 에 2 층 안전 방화벽 이 있 고 IP 여과 체 제 를 통 해 iptables 는 1 층 보 호 를 실현 합 니 다.iptables 방화벽 은 시스템 의 운행 상황 을 직관 적 으로 감시 함으로써 네트워크 중의 일부 악의 적 인 공격 을 막 습 니 다.공격 과 파괴 로부터 전체 시스템 의 정상 적 인 운행 을 보호 하 다.1 층 방 호 를 통과 하면 다음 층 방 호 는 tcpwrappers 입 니 다.Tcp 를 통 해Wrappers 는 시스템 에서 제공 하 는 일부 서비스 에 대한 개방 과 닫 기,허용 과 금 지 를 실현 하여 시스템 의 안전 운행 을 더욱 효과적으로 보장 할 수 있다.　　Tcp_Wrappers 의 사용 은 매우 간단 합 니 다.단지 두 개의 프로필 만 있 습 니 다./etc/hosts.allow 와/etc/hosts.deny 1.시스템 에 Tcp 가 설치 되 어 있 는 지 확인 하 십시오.Wrappers [root@localhost ~]#rpm -q tcp_wrappers tcp_wrappers-7.6-40.7.el5 또는[root@localhost ~]#rpm -qa | grep tcp 　　tcpdump-3.9.4-15.el5 tcp_wrappers-7.6-40.7.el5위의 유사 한 출력 이 있 으 면 시스템 에 tcp 가 설치 되 어 있 음 을 나타 낸다.wrappers 모듈.표시 되 지 않 으 면 설치 되 지 않 았 을 수도 있 습 니 다.Liux 시스템 설치 판 에서 RPM 패 키 지 를 찾 아 설치 할 수 있 습 니 다.　　 2. tcp_wrappers 가 설정 한 규칙 tcpwrappers 방화벽 의 실현 은/etc/hosts.allow 와/etc/hosts.deny 두 파일 을 통 해 이 루어 진 파일 형식 입 니 다.서비스 목록:호스트 목록:옵션 1.서비스 목록 은 지원 할 서비스의 이름 입 니 다.예 를 들 어 telnet,vsftpd 등 입 니 다.2.호스트 목록 에서 제 어 된 기 계 를 설정 합 니 다.이것 은 기계 이름,호스트 IP 일 수도 있 고 어댑터(*또는?)를 사용 할 수도 있 습 니 다.ALL 및 EXCEPT.3.옵션 은 우리 가 제어 해 야 할 동작 입 니 다.서비스 와 client 가 모두 일치 한 후에 진정 으로 해 야 할 동작 은 바로 옵션 이 작 동 하 는 것 입 니 다.1)ALLOW 가 연결 요청 을 수락 합 니 다.2)DENY 가 연결 요청 을 거절 합 니 다.예:118.126.3.222 의 vsftp 로그 인 만 허용 합 니 다.(여기 서 주의해 야 할 것 은 vsftp 에 대한 프로필 vsftpd.conf 의 tcp 입 니 다.wrappers=YES 이렇게 vsftp 를 통 해 tcpwrappers 의 메커니즘 은 vsftp 서버 에 접근 제어 합 니 다.)vim/etc/hosts.allow 편집 vsftpd:18.126.3.222:allow 를 입력 하면 118.126.3.222vsftp 연결 을 허용 합 니 다.vim/etc/hosts.deny 편집 vsftpd:all 은 모든 vsftp 연결 을 거부 합 니 다.일반적인 상황 에서 Liux 는 먼저/etc/hosts.allow 파일 을 판단 합 니 다.원 격 으로 로그 인 한 컴퓨터 가 파일/etc/hosts.allow 설정 을 만족 시 키 면,/etc/hosts.deny 파일 을 사용 하지 않 습 니 다.반대로 hosts.allow 파일 설정 규칙 에 만족 하지 않 으 면 hosts.deny 파일 을 사용 합 니 다.hosts.deny 규칙 을 만족 시 키 면 이 호스트 는 Liux 서버 에 접근 할 수 없 는 것 으로 제 한 됩 니 다.hosts.deny 설정 도 만족 하지 않 으 면이 호스트 는 기본적으로 Liux 서버 에 접근 할 수 있 습 니 다.TCP Wrappers 가 IP 주 소 를 차단 하 는 방법 1.Tcp Wapper 기초 지식 소개 TcpWapper 는 Solaris,HPUX 와 리 눅 스에 서 널리 유행 하 는 무료 소프트웨어.그것 은 외부 서비스 요청 과 시스템 서비스 응답 에 개 재 된 중간 처리 소프트웨어 로 설계 되 었 다.가장 흔히 볼 수 있 는 용법 은 inetd 와 함께 사용 하 는 것 이다.Inetd 가 외부 서비스 요청 을 받 았 을 때 직접 호출 하 는 것 이 아니 라 TCP Wrapper(실행 가능 한 파일 tcpd)를 호출 합 니 다.TCP Wrapper 는 이 요청 한 서비스 와 이 서비스 에 대한 맞 춤 형 액세스 제어 규칙 에 따라 상대방 이 이 서 비 스 를 사용 할 수 있 는 권한 이 있 는 지 여 부 를 판단 합 니 다.만약 에...TCP Wrapper 는 이 요청 을 설정 파일 이 정의 한 규칙 에 따라 해당 데 몬 에 전달 하여 처리 하고 이 요청 동작 을 기록 한 다음 다음 요청 처 리 를 기다 리 고 있 습 니 다.TCP Wrapper 메커니즘 의 주요 목적 은 클 라 이언 트 의 요청 은 같은 독립 된 데 몬(xinetd)이 직접 통신 할 수 있 도록 허용 되 고,요청 한 목표 서 비 스 는 TCP Wrapper 에 의 해 감 싸 져 시스템 의 안전성 과 시스템 관리의 편의 성 을 향상 시 키 는 것 이다.Tcp wrapper 는 응용 프로그램 이 표준 유 닉 스 보안 도구 가 되면 서 유 닉 스 데 몬 inetd 의 플러그 인 이 되 었 습 니 다.Tcp wrapper 를 통 해 관리 자 는 inetd 가 제공 하 는 각종 서 비 스 를 모니터링 하고 여과 하여 시스템 의 안전성 을 확보 할 수 있 습 니 다.2.Tcp Wapper 소스 코드 획득,컴 파일 및 설치 Solaris,HPUX 와 Linux 에 서 는 일반적으로 사용 되 지만 Tru 64 에 서 는 사용 되 는 것 이 매우 적 기 때문에 여기 서 상세 한 소 개 를 해 드 리 겠 습 니 다.제 기계 의 운영 체제 버 전 은 tru 64 4.0F(1)다운로드 소스 주소:(첨부 1)(2)압축 풀기\#gunzip tcp 입 니 다.wrappers_7.6.tar.gz #tar xvf tcp_wrappers_7.6.tar(3)컴 파일 소스 프로그램\#make REALDAEMON_DIR=/usr/sbin hpux 의 마지막 매개 변 수 는 hpux 입 니 다.운영 체제 에 따라 조정 할 수 있 습 니 다.여 기 는 DEC 가 없 기 때문에 이 대 체 를 사용 할 수 있 습 니 다.이 어 생 성 된 주요 파일 몇 개 를 시스템 디 렉 터 리 에 복사 합 니 다.\#cp tcpd /usr/sbin #cp safe_finger /usr/sbin #cp tcpdchk /usr/sbin #cp tcpdmatch /usr/sbin #cp try-from /usr/sbin #cp hosts_access.3 /usr/man/man3 #cp hosts_access.5 /usr/man/man5 #cp hosts_options.5/usr/man/man 5\#cp tcpd.8/usr/man/man 8\#cp tcpdchk.8/usr/man/man8\#cp tcpdmatch.8/usr/man/man 8\#cp libwrap.a/usr/lib\#cp tcpd.h/usr/include 그 중:(1)tcpd 는 모든 인터넷 서비스의 주요 접근 제어 데 몬 입 니 다.inetd 또는 xinetd 를 실행 할 때 사용 합 니 다.(1)2)tcpdchk 는 tcpd wrapper 설정 을 검사 하고 오류 정 보 를 제공 합 니 다.(3)tcpdmatch 는 tcp wrapper 가 서비스의 특수 한 요청 을 어떻게 제어 하 는 지 예지 하 는 데 사 용 됩 니 다.(4)try-from 은 원 격 셸 명령 을 통 해 호스트 이름과 주소 가 정확 한 지 찾 을 수 있 습 니 다.(5）safe_finger 는 finger 도구 의 wrapper 로 자동 호스트 이름 의 역방향 검색 을 제공 합 니 다.3.서 비 스 를 어떻게 관리 상태 에 포함 시 키 는 지 알 고 있 습 니 다.inetd 는'슈퍼 서버'라 고도 부 릅 니 다.즉,일부 네트워크 요청 의 데 몬 을 감시 하고 네트워크 요청 에 따라 해당 하 는 서비스 프로 세 스 를 호출 하여 연결 요 구 를 처리 하 는 것 입 니 다.inetd.conf 는 inetd 설정 파일 입 니 다.inetd.conf 파일 은 inetd 가 어떤 네트워크 포트 를 감청 하고 포트 마다 어떤 서 비 스 를 시작 하 는 지 알려 줍 니 다.만약 우리 가 telnet,ftp 를 tcpd 에 맡 기 려 면/etc/inetd.conf 를 수정 해 야 합 니 다.수정 전:ftp stream tcp nowait root/usr/sbin/ftpd ftpd telnet stream tcp nowait root/usr/sbin/telnetd telnetd 수정 후:ftp stream tcp nowait root/usr/sbin/tcp d ftpd telnet stream tcp nowait root/usr/sbin/tcp d telnetd 수정 후 process 를 다시 시작 하 는 것 을 기억 하 세 요\#vi/etc/inetd.conf\#ps-ef|grep inetd root 53872 1 10:37:52?0:00.00 /usr/sbin/inetd root 53873 53872 0.0 10:37:52 ?? 0:00.01-child(inetd)root 54243 53896 0.3 11:04:58 pts/0 0:00.02 grep inetd\#kill 53872 53873\#/usr/sbin/inetd 4,TCP Wrappers 를 사용 하여 접근 을 제한 하 는 설정 TCP wrappers 를 설정 하기 위해 사용 자 는 두 파일 에서 연결 을 받 아들 이거 나 거부 하 는 표준:/etc/hosts.allow 와/etc/hosts.deny.이전 파일 은 컴퓨터 가 허용 하 는 접근 을 정의 하고,다음 파일 은 거부 할 연결 을 지정 합 니 다.만약 어떤 시스템 이 두 파일 에 동시에 나타난다 면 hosts.allow 가 우선 입 니 다.어떤 시스템 이 파일 에 나타 나 지 않 으 면 TCP Wrappers 는 연결 을 허용 합 니 다.또한,가장 엄격 한 TCP Wrappers 보안 을 실행 하면 사용 자 는/etc/hosts.deny 파일 에'ALL:ALL'줄 을 포함 할 수 있 습 니 다.TCP Wrappers 가 처리 하 는 모든 입력 접근 을 금지 합 니 다.그리고 사용 자 는/etc/hosts.allow 에서 특정 클 라 이언 트 프로그램 에 서비스 프로그램의 포트 를 열 수 있 습 니 다./etc/hosts.allow 와/etc/hosts.deny 의 형식 은 완전히 같 습 니 다.물론 같은 항목 은 두 파일 에서 반대 되 는 역할 을 합 니 다.이 항목 들 의 기본 형식 은 Service-name:client-list[:shell-command]입 니 다.다음 두 개의 파일 을 보십시오.#vi/etc/hosts.deny all:all(주:모든 TCP Wrappers 처리 입력 접근 금지)\#vi/etc/hosts.allow telnetd:10.65.69.157 10.65.70.ftpd:10.65.69.EXCEPT 10.65.69.69.10.65.70 네트워크 의 telnet 연결.Ftp ftpd 는 TCP wrappers 에 게 10.65.69 네트워크 에서 10.65.69.1 을 제외 한 모든 컴퓨터 의 FTP 연결 을 받 아들 이 라 고 알려 주 었 다.아마도 10.65.69.1 은 로 밍 머 신 이나 FTP 클 라 이언 트 를 하지 말 아야 할 호스트 일 것 입 니 다.)이 두 파일 을 수정 하면 xinetd 프로 세 스 를 다시 시작 하지 않 아 도 됩 니 다.)5.검 측 방법 검 측 tcpwrapper 정상 work 여부----내 설정---\#tcpdchk-v Using network configuration file:/etc/inetd.conf>>Rule/etc/hosts.allow line 1:daemon:ftpd clients:10.1.20.76 access:granted>>Rule/etc/hosts.allow line 2:daemon:telnetd clients:10.1.20.76 10.1.20.access:granted>>>Rule/etc/hosts.deny line 1:daemon:telnetd clients: 10.1.20.100 warning: /etc/hosts.deny, line 1: host address 135.129.24.100->name lookup failed access: denied>>> Rule /etc/hosts.deny line 2: daemons: ftpd clients: 10.1.20.100 warning: /etc/hosts.deny,line 2:hostaddress 135.129.24.100->name lookup failed access:denied>>Rule/etc/hosts.deny line 3:daemon:all clients:all access:denied\#6,종결 어 에 소 개 된 것 은 TCP Wrapper 의 간단 한 기능 일 뿐 이 고 다른 특성 도 많이 제공 하 며 매우 정교 한 효 과 를 실현 할 수 있 는 특성 이 있 기 때문에 이런 수요 가 있 는 네티즌 들 은TCP Wappers 제어 파일 형식 에 관 한 공식 문 서 를 자세히 살 펴 서 시스템 의 안전 을 확보 해 야 합 니 다.