tcp_wrapper

TCP_Wrappers

TCP_Wrapper는 finger, ftp, telnet, rlogin, rsh, exec, tftp, talk, comsat등 네트워크 서비스를 필터링 할 수 있는 프로그램이다.

/usr/sbin/tcpd 데몬에 의해서 TCP 서비스를 제어 하는 역활을 가지고 있다.

TCP 제어를 위해서는 /etc/hosts.allow, /etc/hosts.deny 파일을 가지고 설정한다.

/etc/hosts.allow 파일에 정의된것은 허용이 되고, 정의가 되지 않은 내용이 있다면, /etc/hosts.deny 파일에 정의된것은 거부가 되고,

정의 되지 않은 내용이 잇다면, 허용된다.

--------------> tcpd -----|----> /etc/hosts.allow (Allow)

                                        |-------------------> /etc/hosts.deny (Deny)

    | ----------------------------------------> (Allow)

tcp_wrapper는 Firewall (iptable) 과 비교했을 때 성능을 떨어트리지 않는 장점을 가지고 있기 때문에, 빠르게 tcp 방식의 서비스를

제어할 수 있는 장점을 가지고 있다. 하지만 Firewall (iptable) 처럼 모든 서비스를 제어할 수 있는 데몬들은 libwrap (동적 라이브러리)

사용하고 있다.

권장사양

- 이 파일에 설정할 때 시스템이나 도메인 이름을 사용하지 않고 IP주소를 사용할 것을 권장합니다.

- 또한, /etc/hosts.deny 파일에는 deny ALL로 설정한 후 접속을 허용할 주소만 /etc/hosts.allow 파일에 기록할것을 권장한다.

- 2개의 설정파일에 정의를 할 때 저장하는 즉시 유효하므로 작성시에 주의해야 합니다.

- 서비스 차단시 portmap(111) 서비스는 다른 서비스들 (NFS, NIS)과 상관이 있으므로 주의해서 차단해야 합니다.

- 설정 방법은 <데몬이름>:<Source IP주소 or 네트워크 or 이름>:: [옵션]