Ezzel a programmal szűrhetők és monitorozhatók az inetd-ből induló (pop2, pop3, imap, r*, talk, telnet, ftp, tftp, finger, stb.) és a hozzá fordított szerverprogramok által nyújtott hálózati szolgáltatások. A legtöbb disztribúcióban megtalálható. A szolgáltatásokhoz való hozzáférést a /etc/hosts.allow és a /etc/hosts.deny file-okban szabályozhatjuk.
A tcpd-t az inetd indítja, ha a /etc/services-ben megadott szolgáltatás számára fenntartott portra kapcsolatot kezdeményeznek. tcpd használata esetén /etc/inetd.conf a következőképp néz ki:
pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
Ajánlott először tiltani (hosts.deny: ALL: ALL); majd engedélyezni azt, amit és akinek szükséges (hosts.allow):
ftp: .engedelyezett_domain.hu pop-3: 1.2.3.4
A hosts.deny ALL: UNKNOWN PARANOID opciója segítségével csökkenthető a DNS spoofing veszélye.
Az UNKNOWN használatakor a tcpd ellenőrzi, hogy egy ident kérésre mi volt a kliens válasza. Ha UNKNOWN@hostnév, akkor megtagadja a szolgáltatás használatát. Ha a kliens nem használ identd-t, akkor az opció figyelmen kívül marad.
A PARANOID beállításakor, a tcpd lekéri a kapcsolat kezdeményezőjének reverse name server-étől a hostnevét, majd a kapott név alapján az IP címét. Ha a név alapján más IP címet kap, illetve a kliensnek nincs reverse name servere vagy rosszul van konfigurálva, a kapcsolatot eldobja.
Javasolt IP címek és nem hostnevek használata a tcp-wrapper konfigurációs állományaiban. Ezzel is megnehezítjük a támadó dolgát, mivel IP címet általában nehezebb hamisítani, mint DNS bejegyzést. Nehezebb, de nem lehetetlen, ezért érdemes a szolgáltatások igénybevételére jogosult host-ok számát minimalizálni.