之前想通過外部主機訪問自己主機上的VMWare虛擬機器，使用了VMWare的NAT埠對映，經過一番嘗試，算是成功了，總結一下。

　　VMWare NAT埠對映就可以將虛擬機器上的服務對映成自己主機上的埠，以供外部訪問。不過需要主機上的windows系統開放相應的防火牆，windows的資料查起來比較困難，使用價值也不大，所以沒有深究，目前直接關閉防火牆，以後有真正的需求再認真研究。

　　當然虛擬機器上CentOS的防火牆也必須開啟，這個好像預設就是開啟的（至少sshd的22埠是開啟的），然後發現還是訪問不了，查了一下資料，需要配置一下/etc/hosts.allow檔案。終於到了正題，hosts.allow和hosts.deny，這兩個檔案是什麼？

　　CentO系統中提供一個叫TCP Wrapper的機制，是在防火牆之後的一道安全控制屏障，任何訪問如果通過不了防火牆，那就沒戲，通過了防火牆還得經過TCP Wrapper的考驗。詳情參考:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Reference_Guide/ch-tcpwrappers.html。這裡是官方的比較詳細的說明。總結起來大該是如下幾點:

　　1） TCPWrapper只針對系統中的網路服務，比如sshd，sendmail，vsftpd等等（/etc/rc.d/init.d/目錄下的服務）。

　　2） TCPWrapper由/usr/lib/libwrap.a實現，程式碼中使用libwrap.a的服務才會啟動hosts.allow和hosts.deny。通過strings -f <service-program> | grep hosts_access可以大致確定制定服務是否使用TCPWrapper。

　　3） 大概的流程如下圖，其中xinetd也是一個網路服務。

　　4）TCPWrapper只是在建立連線的時候起控制作用，連線一旦建立，TCPWrapper不會再進行干涉。

　　為什麼有了防火牆還要搞這麼個東西，功能感覺防火牆都能做啊有木有。原因我不太懂，但是看了hosts.allow和hosts.deny的規則大概就懂了，其實這是一個更高層次訪問控制，就是說防火牆控制太細了，同時也比較麻煩，我本人就不太熟悉防火牆的細節，以前看過一點，根本記不住。但是hosts.allow和hosts.deny這個規則分分鐘記住啊。先來個例子：

　　這個是host.allow裡面的東西，意思是a) allow 192.168.171.129訪問本機的sshd服務，b)deny 192.168.171.1訪問本機的sshd服務，c)allow 192.168.171.1訪問本機的sshd服務。意思很清晰，語法也很簡單是不是？

　　相信很多同學也能看出語法規則，就是<服務名>:<主機描述>:allow/deny。本人對這個語法也只是初步瞭解，可能有更復雜的用法，這個有興趣的同學可以參考之前給出的官方文件連結。這裡給出以下幾點說明，希望對新接觸的同學有點幫助。

　　1) 服務名是/etc/rc.d/init.d/目錄下的網路服務名，而且是服務的執行檔案的名字，如sshd。

　　2) 主機描述可以比較自由，比如192.168.*.*，還有ALL，大家應該懂是什麼意思，我就不描述了。其他很靈活的用法請參考官方文件。

　　3) 上面c中沒有指出是allow/deny，為什麼是allow？沒有細看說明，根據我的實驗，在hosts.allow中不指定就是預設allow，hosts.deny中預設是deny。

　　4) 原則上建議hosts.allow中定義allow規則，hosts.deny中定義deny規則，但是這個不是強制的。可以在hosts.allow中定deny規則，也可以在hosts.deny中定義allow規則。

　　5) 規則的優先順序為先hosts.allow再hosts.deny，每個檔案中由上至下，一旦匹配一條規則，則停止匹配。上面的例子192.168.171.1就會被sshd deny掉，因為deny規則在前，allow規則在後。有些資料說先allow規則再deny規則是不對的，估計是英文水平一般，直接翻譯的，斷章取義害死人啊。

　　是不是很簡單實用？好了，騷年，趕緊動手試一試吧。