1.   目的

为了防止所有机器都能访问Radius或者数据库的主机，需要对能访问的IP进行限制，指定某些IP才能访问，或者指定某些服务不能被访问。

2.   实现方法

利用Linux系统的hosts.allow和hosts.deny文件可以实现这种功能。

具体的用法请参看Linux的文档。本文只做简单介绍。

2.1. hosts.deny

位于/etc目录下，符合文件定义的主机和服务不能访问相应的资源。

格式如下：

daemon_list : client_list [ : shell_command ]

如果想所有的资源都不被所有的用户访问，加这个规则

ALL:ALL

如果不让所有的用户放问sshd资源，加这个规则

sshd:ALL

如果不让192.168.0.1访问telnet资源，加这个规则

in.telnetd:192.168.0.1

2.2. hosts.allow

位于/etc目录下，符合定义的主机可以允许访问相应的资源，即使在hosts.deny中已经定义的规则，hosts.allow也可以优先。

格式如下：

daemon_list : client_list [ : shell_command ]

如果所有的机器都可以访问所有的资源，加规则

ALL:ALL

如果让192.168.0.1机器访问，加规则

ALL:192.168.0.1

如果让所有的用户访问telnet服务，加规则

in.telnetd:ALL

3.   例子说明

条件如下：

用户段为10.1.1.0~10.1.1.255，管理段在192.168.0.0~192.168.0.255

所有用户只能访问http服务，不能用telnet/ftp/ssh访问主机，管理段所有用户可以完全访问

hosts.deny文件设置如下：

in.telnetd:10.1.1.0/255.255.255.0

in.ftpd:10.1.1.0/255.255.255.0

sshd:10.1.1.0/255.255.255.0

ALL:ALL

hosts.allow文件设置如下：

ALL:192.168.0.0/255.255.255.0