Я занимаюсь защитой сервера OSX, который является целью сотен автоматических запросов в секунду с серверов Китая, России и США (см.: Восстановление сервера из открытого ретранслятора).
Я использовал ipfw для настройки правил, исключающих все IP-запросы, кроме локальных (например, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).
В чем разница между настройкой ipfw правила и внедрение аналогичных правил в hosts.allow/hosts.deny?
Насколько я понимаю, hosts файлы влияют на службы, обернутые в TCP (поэтому могут быть не такими целостными, как ipfw). Будет ли это также означать, что они придут после брандмауэр (так что нет смысла использовать оба)?
Файлы hosts.allow и hosts.deny так сказать устарели. В основном они используются для tcp-wrapper и могут использоваться другими службами или приложениями. Но если они используются в зависимости от реализации программы.
Использование брандмауэра является предпочтительным методом, поскольку их правила основаны на IP-адресах, портах и других критериях. Брандмауэр не зависит от приложения, прослушивающего IP / порт, и поэтому всегда улавливает трафик.
И да hosts.* файлы эффективны после брандмауэр. Тем не менее, они вам не нужны.