华南俳烁实业有限公司

簡(jiǎn)單的說，配置文件有兩個(gè) /etc/hosts.allow 和 /etc/hosts.deny

從名字都猜的出來，放在allow里面的設(shè)定默認(rèn)就是允許的； 放在deny里面默認(rèn)就是拒絕的；如果兩者的設(shè)定都不滿足或者都沒配置，那服務(wù)默認(rèn)也是允許的。

基本格式是

daemon1,daemon2, daemon3.. : client1, client2, client3.. : option1, option2,..

如果覺得麻煩，在任何一個(gè)文件里面，明確的表明 allow 或者 deny也是可以的。比如，我可以在hosts.allow 文件里面做以下定義，拒絕來自172.0.10.223的ssh請(qǐng)求

測(cè)試看看，果然被拒絕了。

把deny去掉或者改成 allow也行

再試試看，又可以連接了

不過不是所有的服務(wù)都可以用tcp wrapper來實(shí)現(xiàn)的，只有連接了libwrap模塊的daemon才可以。

比如 httpd就沒有

但是sshd就可以

接下來看看重頭戲，firewalld的使用。從RHEL7里面，默認(rèn)的防火墻不再是iptables，而是firewalld，盡管他的底層還是iptables。