FTP 及 Telnet 存取控制登錄格式說明
一般的登錄格式是 'client_identifier'
或 'client_identifier EXCEPT client_identifier'
。「FTP 及 Telnet 存取」頁可讓您進入任一格式。
若您選擇在登錄中使用主電腦名稱,請使用完整的主電腦名稱。例如,使用 foo.example.com,而不是 foo。
警告:若您嘗試在主電腦名稱上限制存取, 但裝置無法解析此主電腦名稱, 裝置將會允許存取。僅允許存取指定的主電腦比嘗試限制部份主電腦較為安全。
舉例而言,除 foo.example.com 之外全部 規則允許大部份主電腦,但限制 foo.example.com。然而若是裝置 無法解析名稱 foo.example.com,則自從裝置無法辨識該名稱開始, 將可以連接到 foo.example.com。
相反的,.ibm.com 規則僅允許 連接 ibm.com 網域之中的主電腦,若裝置 無法解析 ibm.com,則無法連接任何的主電腦。 依據您的安全性需求,比起失敗,這可能是針對安全性較好的方法。
client_identifier
的格式是 pattern [, pattern [, pattern]]
-- 亦即,一或多個型樣的清單,型樣以以逗點或空格區隔。
每一個型樣的格式如下:
型樣格式 | 型樣類型 | 說明 | |
---|---|---|---|
'a.b.c.d' | IP 位址 | 特定主電腦的 IP 位址 ('a.b.c.d')。配合遠端系統(主電腦)與此 IP 位址 | |
'a.' -或- 'a.b.' -或- 'a.b.c.' |
部份 IP 位址 | 配合任何主電腦與已指定的部份 IP 位址起首的 IP 位址。 部份 IP 位址可以是一、二或三位元組(例:'192.168.',配合具有 IP 位址 192.168.x.x 的任何系統)。部份 IP 位址型樣必須以 '.' 結尾. | |
'name' -或- 'name.domain' |
主電腦名稱 | 特定主電腦的主電腦名稱。配合遠端系統(主電腦)與此主電腦名稱。 | |
'.domainname' | 網域名稱 | 任何含有(結尾為)指定網域名稱(例:'.ibm.com' 會配合任何主電腦名稱以 '.ibm.com' 結尾的系統)之主電腦名稱的主電腦。 部份網域名稱型樣必須以 '.' 開頭. | |
'a.b.c.d/w.x.y.z' | 網址 | 'a.b.c.d' 是網址,且 'w.x.y.z' 是網路遮罩。 此登錄會配合由網址所定義的次網路中的任何主電腦。 (例:次網路的計算是套用指定的網路遮罩到要求系統的 IP 位址,且如果結果等於指定網址,則系統符合登錄)。 | |
KNOWN | 已知的主電腦 | 符合任何已知主電腦(例:可以使用 DNS 加以解析)的萬用字元。 | |
UNKNOWN | 不明主電腦 | 符合任何未知的主電腦(例:無法使用 DNS 加以解析)的萬用字元。 | |
LOCAL | 區域主電腦 | 符合任何區域主電腦(例:不含點的主電腦名稱)的萬用字元。 | |
PARANOID | 假造的主電腦 | 符合任何主電腦名稱與其 IP 位址不相符之主電腦(例:主電腦是假造的)的萬用字元。 | |
ALL | 所有主電腦 | 符合所有主電腦的萬用字元。通常用來授與對網路中所有主電腦的存取權。 |
部份範例如下:
.example.com EXCEPT a.example.com, b.example.com
9. 10. EXCEPT badhost.example.com 10.2.2.3
ALL EXCEPT PARANOID, badhost.example.com