TCP Wrapper
TCP Wrapper は、LinuxやBSD系の(Unix系)オペレーティングシステム上のTCP/IPサーバへのネットワークアクセスをフィルタリングするホストベースのACLシステムである。ホストまたはサブネットのIPアドレス、ホスト名、Identプロトコルのクエリ応答などをアクセス制御のためのフィルタのトークンとして使う。 TCP Wrapper のtarボールには libwrap というライブラリが含まれ、これに実際の機能が実装されている。当初はinetdのようなスーパーサーバから起動されるサービスだけに対応していて、そのための tcpd というプログラムがあった。しかし、現在ではネットワークサービスを提供するデーモンの多くは、直接 libwrap をリンクできる。これによりスーパーサーバから起動させる形式でないデーモンにも対応でき、単一プロセスで複数のコネクションを制御する場合にも対応できる。さもなくば、最初のコネクションだけがACLに対してチェックされる。 デーモンの構成ファイルにもアクセス制御ディレクティブを書ける場合があるが、TCP Wrapper の場合、実行中にACLの再構成が可能という利点がある(サービスを停止して再起動する必要がない)。 これにより、BlockHosts、DenyHosts、Fail2ban といったワーム対策スクリプトが使いやすくなる。つまり、コネクション数が異常に増えたり、ログイン失敗が発生したときに、クライアントのブロックを追加したり、やめたりといった制御が簡単である。
元々は、TCPおよびUDPのサービスを対象としていたが、例えば特定のICMPパケット(例えば、pingd を使う ping 要求)をフィルタリングすることもできる。