019 尚硅谷-Linux云计算-网络服务-基础-TCP_Wrappers使用介绍

大家好，欢迎大家继续收看上硅谷的Linux云计算视频，我是刘川老师。那我们上节课呢，讲了一下关于TCP的一个简介和TCP的一个工作原理，那么本节课呢，来讲一下关于TP的一个使用情况，比如说我们如何来呃限制某一个服务。允许被哪些客户端来连接，OK？那这个地方很简单啊，我们来看一下关于TCBS2个配置文件，第一个配置文件呢，叫ETC的hosts along，第二个叫ETC host design，我们先把两个配置文件找出来，看一下这两个文件。L-L下关于ETC下的hosts点。这是我们的呃，允许的配置文件，然后再来看一下我们的ETC下的hosts词，点deny。两个文件都是有的，然后呢，我们依次来查看一下两个文件里边的内容。看一下我们的里边的内容。

OK。会发现所有内容都是注释掉的。其实这个地方就是对。对hosts along这个文件的一个介绍和一些帮助信息，同样，Deny里边其实也是一样的。啊，其实也是一样的，都是一些注入信息以及说明文档，那也就意味着这两个文件里边默认是空的，不对任何的网络服务进行一个访问控制的一个限制。OK，那既然两个边都有，并且里边是空的，那我们现在拿它来做一下实验啊。OK。在做实验之前呢，我们先来看一下关于两个配置文件里边的编写规则啊，两个配置文件的编写规则，那编写规则呢，我给大家。总结成这样一个格式。Service list服务列表。List不是r list啊，不是服务器列表，是服务列表host。At host后面那个host指的是本机的哪个IP地址？

啊啊，不是目标地址，而是本期的那个IP地址。那这个地方这样写本机的，其实对于客户端而而言就是目标嘛，这个host对于客户端而言是目标，但这个东西对于夫妻本身而言是自己的哪个网卡。啥意思啊？真正的生产环境中，我们的服务器至少是两张网卡的。那这个时候客户端连接服务器的时候，那具体是连接服务器的哪张网卡是要有一个选择的。这个地方如果是客户端连接指定的网卡才限制是就得写艾特加对应的IP地址了。如果是不管客户端连接我服务器哪个网卡的哪个IP都限制，那这个地方就可以省略不写。啊，就可以省略不写，OK，看这艾特host这方设置允许或禁止他人从自己的哪个网口进入，这项不写就代表从哪里进来都限制。

这是它的意思，那然后呢，写一冒号，冒号后边是冒号是个分隔符啊，冒号后边是一个clean list，就是客户端机制，叫客户端制。客户端地址啊，能够写的格式其实比较多啊，先来说一下关于客户端，如果有多个怎么办，就是不管谁访问这个端口，这几个都被拒绝，那怎么写，看这。可以使用空格，也可以使用逗号，隔开客户端之间可以使用空格和逗号。这个就比较简单了。那我们来说一下客户端格式。客户端的创建格式可以写成这样的，比如说基于IP的时候，可以写成19216888.1，写成这种格式就是具体某1IP。如果是写成某一网段，可以这样写，192168。点八八点，你说你是不是漏写了一个啊，并没有，就是这样写。以点作为结尾，后边如果不写，那就是。

合理范围内的任意某一个，你说合理范围是哪合理啊？我们现在是IPV4 IPv4里边的IP地址最大是啊。0255嘛。比如说合理的就是点后边是零到255之间的某一个。就这个意思，那就这。你可以这样理解，这也是某一网段啊。算是标准的啊，OK，还可以写成基于主机名的啊，这种相对比较少，为啥？因为基于主机名的还要去进行什么，还要去进行反解。啊，还要进行繁解，要把这个对应的名字解析成某个IP地址，才能去判断这个IP地址是否允许，所以说一般我们很少写成这种格式啊，OK。然后第三种就是。标准的网络掩码模式了。但是。呃，我们经常写成斜杠后边加一个数字，但是它的格式啊，必须写成幺九二幺六八八八点。

就168.0.0，然后后面是什么。三个251个点零。当然啊。呃，3S7当中变了，3S7当中允许写写24。啊写允许写二四，但在3S6里边是不允许那样写的啊，注意这个地方啊。然后呢，最后一个是还有内置的AC规则内内置的访问控制规则啊，也就是我所说的那种叫泛匹配的模式。那常见的两种泛屏模式，一种叫所有主机，一种叫local本地主机。这两种相对比较常见的啊。OK，那这个就是关于我们TCS的host和hosty这两个配置文件里边的编写规则，那就是这样一个情况。下边呢，我们通过几个简单的案例来，呃。做一下这个实验来看一下啊，OK，首先拒绝单个IP使用SSH远程连接。

怎么办呢？拒绝单个。比如说拒绝、个别允许所有。允许所有简单呀后along里边空着啥，不写就允许所有量。怎么拒绝单个呢？在deny里边只写某一个就行了。啊，之前某一个就可以了。OK，那现在我们是连着幺零的，我们。关掉。然后我们去。服务器端干嘛呀？限制一下YM。编辑下ETC下的hosts.y。然后在里边按照对应的规则来编写一下，比如说我们是SSHD这个服务，那你就正常的写SSHD就可以了。然后呢，后边写对应的IP地址。幺九二点幺六八点八八点。诶。

后边呢，如果直接这样结束了，其实只要是来自于19216888网段的连接都不允许。那这个地方我们就写一个，那就写一个，哪一个呢。Windows去连接这个幺零啊，使用的IP地址是一。这个呀，我们早期在讲我们的vmwa的时候啊，肯定知道啊vm vmwa这个软件在一安装的时候会为Windows。创建一个虚拟网卡，那个虚拟网卡就是为了让Windows能和Linux通信的这么一个地址，那个地址是88.1。OK，然后写完了保存退出一下。这个TCS比较特殊。特殊呢，它虽然是一个这样的一个工具和一个服务，但它并不需要重启，那也就意味着这个配置文件只要是。编写好了，保存退出就生效了。那么怎么验证一下？Windows吧。

Windows拿着这个工具，就是拿着自己的800.1去连接嘛，对吧，连接一下幺零。你会发现。我们等着，然后就结束了。再来一遍。又结束了，你发现我们连不上了，为什么？原因就是我们拒绝了。来自于。88.1的请求。拒绝。这帮人也挺。慢慢来尝试一下使用别的IP登录啊。呃，使用别的IP登录很简单，我们找另外一个机器。二零这个机器呢，它是一个。88.20，那么拿二零去登录幺零的话。就应该可以了，OK，怎么操作这样操作。直接写192.168.88.10。允许我们去接收一下，准备密钥，然后呢，幺零的密码是123123回城OK，看登成功了。

Config。这就没有问题了，这就是TC的这个实验啊。拒绝某1IP。都允许，OK，再来看第二个，拒绝某一网段使用。其实这个和上面一样的就是。IP地址。做成一个网段也可以了，这个比较简单啊，OK，我们先让二零退出幺零。然后再去改配置文件，幺零里我们去改一下deny配置文件。把刚才这个一删掉。然后保存退出又生效了。再试一下，这次直接拿二零来测，联系阿零。现在不像刚才那样可以直接连接了。然后Windows连接是。

Windows也是连接不了的。像这个就是呢，限制某一网段啊。我们再来看最后一个。仅允许某1IP使用SSH远程连接。仅允许某一个，就是允许一个拒绝所有，那拒绝所有你得先拒绝所有啊，怎么拒绝里边写个。不是直接写啊，不是直接写哦，而是要在对应的符后边这样来写。SHD。上面这些都要是SD才可以。SD。那这个就是关于我们的这个。这个实验我们来做一下。我们的。找到deny。把SSD变成。

然后呢，去找一下我们的文件。你允许哪一个，你就把谁的写在这儿。SSD冒号，我允许192.168.88.1远程连接我。但其他的一个都不允许。好了，我们来试一下。同样还是登陆。这就是如何？拒绝所有允许某一个。如何拒绝所有允许某一个？如果是一个都不拒绝的话，那就直接两个配置文件空着，你看默认情况下，不就两个配置文件都空着吗？然后我们所有的人是不是都可以呀，对吧。所以说这就是关于我们的这个TCP wes的一个。

访问控制规则编写的这么一个啊内容。熟悉。我们的编写规则，就。啊，我们的编写规则就可以了。好了，这也就是我们的TC的访问控制的规则编写，OK。下节课就到这儿，我们下节课再见。