rh9中的vsftpd，tcp-wrapper如何控制安全

sunaska

sorry拉，9。0的，偶的一台机器名是www.aaa.com,另一台是www.bbb.net，那么aaa的机器做ftp服务，想控制bbb的主机不能登陆aaa的ftp服务，无论是以什么用户名，但是按照如上所说，试了不能成功？bbb始终能访问aaa的ftp server，偶是希望别人在bbb的机器上就不能登陆aaa的。

大坏羊

把下面几个命令的输出结果粘贴上来（注意不要自己敲，粘贴过来）
一、[root@forever xinetd.d]# ldd `which vsftpd`
二、[root@forever xinetd.d]# more /etc/hosts.deny
三、[root@forever xinetd.d]# more /etc/hosts.allow
四、[root@forever xinetd.d]# cat /etc/vsftpd/vsftpd.conf
五、[root@forever xinetd.d]# netstat -antp

sunaska

/etc/hosts.allow为空
/etc/hosts.deny中为  vsftpd : bbb.net
因为假如偶把后面改成ip地址的话是可以实现的，那说明tcp-wrapper是正常工作的，但是就是不能控制某一个域机器的登陆，所以偶感觉很奇怪的。

大坏羊

/etc/hosts.deny中为 vsftpd : *.bbb.net

这样呢？

sunaska

也不行的呀？奇怪了呢？谁能试试做做这个实验呢？

大坏羊

你这句话就太不负责了，，，每一次的回答之前偶都是试过了的

lftp 192.168.0.199:~> debug
lftp 192.168.0.199:~> ls
---- Connecting to 192.168.0.199 (192.168.0.199) port 21
<--- 421 Service not available.
**** remote end closed connection
---- Closing control socket
Interrupt

大坏羊

最初由 大坏羊 发表
你这句话就太不负责了，，，每一次的回答之前偶都是试过了的

lftp 192.168.0.199:~> debug
lftp 192.168.0.199:~> ls
---- Connecting to 192.168.0.199 (192.168.0.199) port 21
<--- 421 Service not available.
**** remote end closed connection
---- Closing control socket
Interrupt

你应该看看域名解析相差问题

sunaska

sorry sorry!!偶说错话了！：）可是偶试了就是不行啊！！
然后偶想问的是，linux中域和dns中的是不同的吧，那比如偶用bbb.net,那诸如www.bbb.net,ftp.bbb.net的主机都无法登陆www.aaa.com的主机了吧，那tcp-wrapper是怎么确定这些机器的，是将其转换为ip的吗？

大坏羊

说实话，偶也并不是很明白，就不乱说了

根据经验，tcp-wrapper发现一个连接时，根据ip查dns 的ptr（反向解析域名），如果查到了符合的才拒绝，但一般的域名很多都没有设反向解析区，所以看起来就象没有起作用了。

我想解决办法可以这样：你至少能确定bbb.net的网段，把那个网段封掉即可，如
vsftpd: 192.168.0.

大坏羊

试了一下，没有反向解析区的的确不起作用。