RHEL 7サーバーには、/etc/hosts.allow
フルアクセス権を持つ複数のIPアドレスがあります。ファイアウォール(確認を含むfirewall-cmd
)、特定のソースが定義されていない、デフォルトゾーンでは特定のポートとサービスを許可します。どちらが優先ですか?または、具体的な例を挙げると、にリストされているIPアドレスが/etc/hosts.allow
ファイアウォールルールで許可されていないポート/サービスを使用してサーバーに接続しようとした場合に接続できますか?
答え1
私の答えはいいえです。
TCP Wrapper システムまたはファイアウォール設定は互いに優先順位がなく、代わりにレイヤーとして機能します。
/etc/hosts.allow
/etc/hosts.deny
TCP Wrapperシステムで使用されるホストアクセス制御ファイル。各ファイルには0個以上のファイルが含まれています。デーモン:クライアントワイヤー。最初の一致行を考えてみましょう。
次の場合、アクセス権が付与されます。デーモン:クライアントペアの一致です/etc/hosts.allow
。それ以外の場合、アクセスは拒否されます。デーモン:クライアントペアの一致です/etc/hosts.deny
。それ以外の場合はアクセスが許可されます。
サービスがTCPラッパーを介してアクセス権を取得してもファイアウォールにない場合(ファイアウォールにはデフォルトで「すべて拒否」ルールが必要です)、サービスはそのサービスに接続できません。マシン。
まだあまりにも多くのTCPラッパーが設定されているのを見たことがありません。 libwrapを使用すると、基本的なフィルタリングのみを提供し、firewalld
サービスへのアクセスを許可するためにのみ使用されるこのシステムを回避できます。構成と管理がより簡単で強力になりました。