哪个优先:/etc/ Which .允许还是允许？

Question

在RHEL 7服务器上，/etc/hosts.allow具有许多具有完全访问权限的IP地址。防火墙(用firewall-cmd确认)，没有定义特定的源，默认区域允许某些端口和服务。哪个优先？或者对于一个特定的例子，如果/etc/hosts.allow中列出的IP地址试图使用防火墙规则不允许的端口/服务连接到服务器，它能连接吗？

Answer 1

答案是否定的。

TCP包装系统和防火墙设置之间都不优先；相反，它们作为层工作。

/etc/hosts.allow和/etc/hosts.deny是TCP包装器系统使用的主机访问控制文件。每个文件包含零个或多个守护进程:客户端行。考虑了第一条匹配线。

当守护进程:client对匹配/etc/hosts.allow中的条目时，将授予访问权限。否则，当守护进程:client对匹配/etc/hosts.deny中的条目时，将拒绝访问。否则，将授予访问权限。

现在，如果通过TCP包装器授予服务访问权限，但在防火墙上没有访问权限(而且防火墙默认具有“拒绝所有”规则，这是应该的)，则该服务将无法连接到机器。

我现在还没有看到太多的TCP配置--您可以避免使用这个系统，它只通过libwrap提供基本的过滤，并且只使用firewalld来允许对服务的访问。它更容易配置和管理，而且更强大。