TCP Wrappers, kullanılacak servislere kısıtlama getirmek için kullanılmaktadır. Hangi servislere hangi clientların (istemcilerin) erişebileceğini yada engelleneceğini tcp wrappers ile belirtiriz.
Erişim kontrolleri /etc/hosts.allow ve /etc/hosts.deny adında iki dosya ile gerçekleştirilir. Erişim izni verilecekleri hosts.allow dosyasında, engellenecekleri ise hosts.deny dosyasında belirtiriz.
Yukarıda belirtilen dosyalara kural yazarken aşağıdaki format kullanılmaktadir.:
<servis listesi>:<istemci listesi>[:<seçenekler>:<seçenekler>:]
Servis listesi: Çalıştırılan servislerin isimleri
İstemci listesi: Erişim hakları ayarlanacak clientları
simgeler.
Bir örnek üzerinden konunun daha iyi anlaşılacağını düşünüyorum. Örneğimizde sshd servisine sadece 172.16.1.0/24 networkunden ulaşılmasını istediğimizi düşünelim. Bu işlem için iki yöntem vardır. Birincisinde hosts.allow dosyasına izin verilecek network yazılır. Geri kalan networklerin engellenmesi için ise hosts.deny dosyasina ALL seçeneği girilmelidir:
/etc/hosts.allow
sshd : 172.16.1.0/255.255.255.0
/etc/hosts.deny
sshd : ALL
İkinci yöntemde ise sadece hosts.deny dosyasını kullanıyoruz. “ALL EXCEPT 172.16.1.0/255.255.255.0″ ifadesi ile 172.16.1.0/24 networku haricindekilerin erişiminden bahsediyoruz:
/etc/hosts.deny
sshd : ALL EXCEPT 172.16.1.0/255.255.255.0
Gördüğünüz gibi tcp wrappers’ ın temel kullanımı bu kadar basittir. Yukarıdakilere ek olarak bilmemiz gereken bazı özel ifadeler söz konusudur. Bunları yine örnekler ile açıklayacağım;
sshd prosesi için ‘bilgiagi.web.tr’ ile biten kullanıcıları.
sshd : .bilgiagi.web.tr
tüm servisler ve IP adresi 172.16. ile başlayan IP adreslerini:
ALL : 172.16.
şeklinde ifade edebiliriz.
NOT: Her iki dosyada da (hosts.deny ve hosts.allow) eşleşme olmazsa erişime izin verilir.
Hazırlayan: Zeynep YILDIRIM
Zeynep hanım,
yazınız için teşekürler. Bu deny ve allow olan host dosyaları sys32/drivers/etc nin altına konmalıdır değilmi?
access list olusturma yerıne genel bır arayuz denılıcek bır uygulama gayet yuk hafıfletıccı
Linux /etc/ dizini altinda olmalidir.