TCP Wrappers (también conocido como tcp_wrappers ) es un sistema ACL de red basado en host , que se utiliza para filtrar el acceso de red a servidores de protocolo de Internet en sistemas operativos ( similares a Unix ) como Linux o BSD . Permite que las direcciones IP del host o de la subred , los nombres y/o las respuestas a las consultas de identidad se utilicen como tokens sobre los que filtrar con fines de control de acceso .
El código original fue escrito por Wietse Venema en 1990 para monitorear las actividades de un cracker en las estaciones de trabajo Unix en el Departamento de Matemáticas y Ciencias de la Computación de la Universidad Tecnológica de Eindhoven . [1] Lo mantuvo hasta 1995, y el 1 de junio de 2001, lo lanzó bajo su propia licencia estilo BSD .
El tarball incluye una biblioteca llamada libwrap que implementa la funcionalidad real. Inicialmente, solo los servicios que se generaban para cada conexión desde un superservidor (como inetd ) se empaquetaban utilizando el programa tcpd . Sin embargo, los demonios de servicio de red más comunes hoy en día se pueden vincular directamente con libwrap. Esto es utilizado por demonios que operan sin ser generados desde un súper servidor, o cuando un solo proceso maneja múltiples conexiones. De lo contrario, solo se verificaría el primer intento de conexión con sus ACL.
En comparación con las directivas de control de acceso del host que se encuentran a menudo en los archivos de configuración de los demonios, los TCP Wrappers tienen el beneficio de la reconfiguración de ACL en tiempo de ejecución (es decir, los servicios no tienen que recargarse o reiniciarse) y un enfoque genérico para la administración de la red.
Esto facilita el uso de secuencias de comandos antigusanos , como DenyHosts o Fail2ban , para agregar y hacer caducar reglas de bloqueo de clientes, cuando se encuentran conexiones excesivas y/o muchos intentos de inicio de sesión fallidos.
Si bien originalmente se escribió para proteger los servicios de aceptación de TCP y UDP , también existen ejemplos de uso para filtrar ciertos paquetes ICMP , como 'pingd': el respondedor de solicitudes de ping del espacio de usuario. [2]