求解 hosts.allow 和 hosts.deny

wwdjs

我在hosts.allow中配置为
------------------------------------------
vsftpd: 192.168.0.0/24 EXCEPT 192.168.0.8
------------------------------------------

hosts.deny中配置为
------------------------------------------
vsftpd: ALL
------------------------------------------

我想让192.168.0.0/24的网段可以访问 vsftpd ， 排除其他网段，包括
192.168.0.8 的主机，不知道这样的配置对不对？

如果hosts.deny中不设置的， 192.168.0.8 还是可以ftp的, 这是什么道理啊

wiq

应该是对的。
如果hosts.deny中不设置的， 所有的IP都可以ftp的吧。

hongliang

tcp-wrapper的判断顺序是先看是否明确允许(hosts.allow)，再看是否明确禁止(hosts.deny)，如果都没有明确，那就是默认允许。

所以，192.168.0.8在hosts.allow中并没有规定明确允许，注意hosts.allow只是规定是否允许，不等于except了就代表deny。在hosts.deny中没有规定192.168.0.8禁止（因为没有写vsftpd: ALL），所以192.168.0.8最终被允许。

bst

多多实践.

sinboy2002

呵呵，那也就是说要在
hosts.deny
hosts.allow
明确说明

gaoyunhai

各位老师：
我发现telnet配置文件无法实现局域网段阻止，例如我希望139.24.205.0/24不能访问我的telnet server(139.24.205.100).
但是又希望139.24.205.99是可以的，其余网段也都可以。
我用下面的配置，发现139.24.205.99也不能telnet到telnet server(139.24.205.100).
telnet不像sshd可以用hosts.allow和hosts.deny交叉配置，不知如何是好？

# default: on
# description: The telnet server serves telnet sessions; it uses
#       unencrypted username/password pairs for authentication.
service telnet
{
        disable = no
        no_access = 139.24.205.0/24 EXCEPT 139.24.205.99
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        log_on_failure  += USERID
}

kissingwolf

man xinetd.conf
look attribute "no_access"
no_access里是没有定义except字段的！

gaoyunhai

老师我同意，但是如何实现我的要求呢？在/etc/xinetd.d/telnet配置文件里我只有no_access和only_from两个武器，似乎无法实现。

kissingwolf

iptables -A INPUT -s 139.24.205.99 -p tcp --dport 23  -j ACCEPT
iptables -A INPUT -s 139.24.205.0/24 -p tcp --dport 23  -j DROP

孤城

老师犯低级错误了,telnet端口是23,不是21.