16.10.TCP 封装器（TCP Wrapper）

TCP Wrappers 是一种基于主机的网络访问控制系统。通过在实际的网络服务之前拦截传入的网络请求，TCP Wrappers 根据预定义的规则评估源 IP 地址是否被允许访问或被拒绝。

然而，尽管 TCP Wrappers 提供了基本的访问控制，但不应被视为更强大安全措施的替代品。为了全面保护，建议结合使用防火墙、适当的用户身份验证实践和入侵检测系统。

16.10.1. 初始配置

TCP Wrappers 默认在 inetd(8) 中启用。因此，第一步是启用 inetd(8)，执行以下命令：

# sysrc inetd_enable="YES"
# service inetd start

然后，正确配置 /etc/hosts.allow。

警告

不同于其他实现，FreeBSD 中 hosts.deny 的使用已被弃用。所有配置选项应放在 /etc/hosts.allow 中。

在最简单的配置中，守护进程的连接策略设置为允许或阻止，具体取决于 /etc/hosts.allow 中的选项。FreeBSD 的默认配置是允许所有连接到由 inetd 启动的守护进程。

基本配置通常采用 daemon : address : action 形式，其中 daemon 是 inetd 启动的守护进程，address 是有效的主机名、IP 地址或用括号括起来的 IPv6 地址 ([ ])，action 是 allow 或 deny。TCP Wrappers 使用“先匹配规则”的语义，意味着配置文件会从头开始扫描匹配的规则。待找到匹配项，规则会被应用，搜索过程停止。

例如，要允许通过 mail/qpopper 守护进程进行 POP3 连接，可以将以下行添加到 /etc/hosts.allow：

# 这是允许 POP3 连接所必需的：
qpopper : ALL : allow

每次编辑此文件时，请重新启动 inetd：

# service inetd restart

16.10.2. 高级配置

TCP Wrappers 提供了高级选项，可以更好地控制连接的处理方式。在某些情况下，可能需要对某些主机或守护进程连接返回评论。在其他情况下，可能需要记录日志条目或向管理员发送电子邮件。还有些情况可能需要仅对本地连接使用某个服务。所有这些都可以通过使用通配符、扩展字符和外部命令执行来实现。要了解更多关于通配符及其相关功能的信息，请参阅 hosts_access(5)。