RHEL 7 서버에는 /etc/hosts.allow전체 액세스 권한이 있는 여러 IP 주소가 있습니다. 방화벽(확인 포함 firewall-cmd), 특정 소스가 정의되지 않음, 기본 영역에서는 특정 포트 및 서비스를 허용합니다. 어느 것이 우선인가? 아니면 구체적인 예를 들자면, 에 나열된 IP 주소가 /etc/hosts.allow방화벽 규칙에서 허용하지 않는 포트/서비스를 사용하여 서버에 연결을 시도하는 경우 연결할 수 있나요?
답변1
내 대답은 아니오 야.
TCP Wrapper 시스템이나 방화벽 설정은 서로 우선 순위가 없으며 대신 레이어로 작동합니다.
/etc/hosts.allow/etc/hosts.denyTCP Wrapper 시스템에서 사용하는 호스트 액세스 제어 파일입니다 . 각 파일에는 0개 이상의 파일이 포함되어 있습니다.데몬: 클라이언트철사. 첫 번째 일치 라인을 고려하십시오.
다음과 같은 경우 액세스 권한이 부여됩니다.데몬: 클라이언트쌍 일치 항목입니다 /etc/hosts.allow. 그렇지 않으면 액세스가 거부됩니다.데몬: 클라이언트쌍 일치 항목입니다 /etc/hosts.deny. 그렇지 않으면 액세스가 허용됩니다.
이제 서비스가 TCP 래퍼를 통해 액세스 권한을 얻었지만 방화벽에 있지 않은 경우(방화벽에는 기본적으로 "모두 거부" 규칙이 있어야 함) 서비스가 해당 서비스에 연결할 수 없습니다. 기계.
아직 너무 많은 TCP 래퍼가 구성된 것을 본 적이 없습니다. libwrap을 통해 기본 필터링만 제공하고 firewalld서비스에 대한 액세스를 허용하는 데만 사용되는 이 시스템을 피할 수 있습니다. 구성 및 관리가 더욱 쉽고 강력해졌습니다.