FTP および Telnet アクセス制御エントリー形式のヘルプ


FTP および Telnet アクセス制御エントリーの形式は、TCP ラッパー /etc/hosts.allow 構成ファイルで 使用されている形式のサブセットです。 使用可能なエントリー形式の要約を以下に示します。 詳しくは、TCP ラッパー・サービス (tcpd) の資料を参照してください。

エントリーの一般的な形式は、 'client_identifier' または 'client_identifier EXCEPT client_identifier' の いずれかです。 「FTP および Telnet アクセス」ページからいずれかの形式を入力できます。

エントリーでホスト名を使用することを選択した場合は、完全修飾ホスト名を 使用してください。 たとえば、foo ではなくfoo.example.com を使用してください。

重要: ホスト名によってアクセスのブロックを試み、アプライアンスが そのホスト名の解決に失敗した場合、アプライアンスはアクセスを許可します。 指定されたホストのみへのアクセスを許可するのは、一部のホストのブロックを試みるよりも安全です。

たとえば、all except foo.example.com というルールの場合、 ほとんどのホストが許可されますが foo.example.com のみブロックされます。 ただし、アプライアンスが foo.example.com という名前の解決に失敗した場合、 アプライアンスがこれを認識できないため、foo.example.com には接続できてしまいます。

これに対し、.ibm.com というルールの場合、ibm.com ドメイン内の ホストのみへの接続を許可し、アプライアンスが ibm.com の解決に失敗したとしても 接続できるホストは変わりません。 セキュリティーの要件によっては、セキュリティー上、この方法が安全です。

client_identifier の形式は pattern [, pattern [, pattern]] です。 つまり、コンマまたはスペースで区切られた 1 つ以上のパターンからなるリストです。

各パターンの形式を以下に示します。

パターン形式 パターン・タイプ 説明
'a.b.c.d' IP アドレス 特定ホストの IP アドレス。('a.b.c.d') この IP アドレスを持つリモート・システム (ホスト) に一致します。
'a.' -または-
'a.b.' -または-
'a.b.c.'
部分 IP アドレス 指定された部分 IP アドレスで始まる IP アドレスを持つホストに一致します。 この部分 IP アドレスは 1 バイト、2 バイト、または 3 バイトにすることが できます。(例: '192.168.' は 192.168.x.x の IP アドレスを持つシステムに一致します) 部分 IP アドレス・パターンは '.' で終わっていなければなりません。.
'name' -または-
'name.domain'
ホスト名 特定のホストのホスト名。このホスト名を持つリモート・システム (ホスト) に一致します。
'.domainname' ドメイン・ネーム 指定されたドメイン・ネームを含む (指定されたドメイン・ネームで終わる) ホスト名を 持つホスト。(例: '.ibm.com' は '.ibm.com' で終わるホスト名を持つシステムに一致します) 部分ドメイン・ネーム・パターンは '.' で終わっていなければなりません。
'a.b.c.d/w.x.y.z'  ネットワーク・アドレス 'a.b.c.d' はネットワーク・アドレスを表し、'w.x.y.z' はネットワーク・マスクを表します。 このエントリーは、ネットワーク・アドレスにより定義されたサブネット内のあらゆるホストに一致します。 (サブネットは、指定されたネットワーク・マスクを、要求を行うシステムの IP アドレスに 適用することにより計算されます。結果が指定のネットワーク・アドレスと同じ場合、そのシステムは そのエントリーに一致します。)
KNOWN 認識されているホスト 認識されているホストに一致するワイルドカード。(DNS を使用して解決することができます)
UNKNOWN 不明なホスト 不明なホストに一致するワイルドカード。(DNS を使用して解決することができません)
LOCAL ローカル・ホスト ローカル・ホストに一致するワイルドカード。(ドットを含まないホスト名)
PARANOID スプーフ・ホスト IP アドレスに一致しないホスト名を持つあらゆるホストに一致するワイルドカード。(スプーフされているホスト)
ALL すべてのホスト すべてのホストに一致するワイルドカード。通常、ネットワーク内のすべてのホストに対する アクセスを認可するために使用されます。

以下にいくつか例を示します。