之前我介绍过了iptables实现访问控制，今天来聊一聊，简单一点的访问控制tcp wrapper。

通过tcpd进程来实现的，但是有条件
1.只能实现定义的
2.必须是tcp协议

首先聊一聊监听是如何实现的？
    网络套接字编程：通过循环不停歇的一直查看端口是否有请求
    例如：ftp服务监听21号端口,如果允许则转交给ftp服务器
ldd `which command` 用于查看所依赖的库，如果存在“libwrap.so.0 => /lib/libwrap.so.0 (0x008c8000)”，则表示接受tcp wrapper控制。否则无法通过tcp wrapper的设置来实现访问控制。    
tcp wrapper的配置文件:    /etc/hosts.allow    允许的配置文件
                          /etc/hosts.deny     拒绝的配置文件
第一步：首先去检查/etc/hosts.allow文件，如果有则放行
    如果没有，则查看deny。如果deny中有，则拒绝，
    如果都没有，则放行。

格式：
        daemon_list:client_list [:options] ,选项用冒号隔开
        可执行文件的文件名
        例如：
daemon_list
        vsftpd:192.168.0.
        vsftpd,sshd,in.telnetd:   服务列表
        ALL：   表示所有服务
        daemon@host,在某一个地址上控制
                vsftpd@192.168.0.15
cilent_list
有以下格式：
        （1）单个ip
        （2）网络地址：    （1）network/mask  ,mask 只能使用长格式255.255.255.0
                （2）172.16.  
        （3）主机名称：    （1）FQDN
                （2）.a.org  表示a.org域内的所有主机
        （4）宏：ALL  表示所有主机或服务
                本地  非FQDN格式的主机名称
                KNOWN 已知主机，可以被解析的主机
                UNKNOWN
                PARANOID
                EXCEPT 排除某个主机或网络

-----------------------------------------------------
举例：控制vsftpd的访问
   
禁止172.16.100.100主机的访问ftp服务
#vim /etc/hosts.deny
vsftpd:172.16.100.100

telent 是非独立守护进程，受超级守护进程的控制
    telnet服务器端的可执行程序文件叫in.telnetd
        #yum install telnet-server
        #ldd `which xinetd`
            超级守护进程受tcp wrapper的控制
        #service xinetd start
        #chkconfig telnet on
        #in.telnetd:ALL EXCEPT 172.16.0.1

-------------------------------------------------------
选项：spawn 启动
        #man 5 hosts_access        可以查看访问控制用法
        #spawn echo "%u"    当访问某项服务时，控制显示用户名，我可以将其定向到日志中，我就可以知道谁登陆过。例如：
#in.telnetd:ALL EXCEPT 172.16.0.1:spawn echo Login attempt(`date`) %u from %a attempt to login %A ,the daemon is %d. >> /var/log/telnet.log

在允许中拒绝，在拒绝中允许
            ALLOW
            DENY
例如：        
    #vim /etc/hosts.deny
    in.telnetd:172.16. : ALLOW