赞
踩
当linux主机需要允许/禁止某些ip地址/地址段访问某些资源或服务时,/etc/hosts.allow和/etc/hosts.deny就派上了用场!
两个文件的配置格式是:
服务:地址:允许/禁止
其中,服务可以是sshd、vsftpd、smbd、telnetd,也可以是all(所有服务);地址可以是某个具体的ip地址,也可以是地址段,比如192.168.1.1,192.168.2.0/24,192.168.1.,192.168.3.* 等等;第三项是allow或者deny,其中, :deny 和:allow可以省略不写。
当hosts.allow和hosts.deny有ip地址冲突时,以hosts.allow的设置为准。
1、允许192.168.1.1主机sshd远程登陆
编辑hosts.allow文件,写入 sshd:192.168.1.1:allow 或者 sshd:192.168.1.1
2、允许192.168.1.0/24网段的所有主机远程访问所有资源
编辑hosts.allow文件,写入 all:192.168.1.0/24:allow 或者 all:192.168.1.
3、禁止192.168.1.0/24主机telnet远程登陆
编辑hosts.deny文件,写入 telnetd:192.168.1.*:deny 或者 telnetd:192.168.1.0/24
修改完这两个配置文件后,立即生效,已打开的会话不受影响。
一般情况下,hosts.allow和hosts.deny结合起来一起使用,才能保证更好的安全性。即在hosts.deny文件中写入“all:all:deny”,禁止一切ip地址远程访问所有资源,然后在hosts.allow文件中添加特定的ip地址允许远程访问资源即可。
多个ip地址或ip地址段设置相同时,可以用逗号分割开来写在一行。
ip地址可以是私网地址,也可以是主机所在的公网地址;如果挂着vpn的话,ip地址应该是vpn所分配的地址或地址段。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。