Hilfe zu "FTP- und Telnet-Zugriffsteurung - Eintragsformat"
Das allgemeine Format eines Eintrags lautet 'Client-ID
oder 'Client-ID EXCEPT Client-ID
. Über die
Seiten für den FTP- und den Telnet-Zugriff können Sie beide Formate
eingeben.
Wenn Sie in einem Eintrag Host-Namen verwenden möchten, verwenden Sie vollständig qualifizierte Host-Namen. Verwenden Sie z. B. foo.beispiel.com und nicht foo.
Achtung: Wenn Sie auf der Grundlage von Host-Namen den Zugriff blockieren möchten, das Auflösen der Host-Namen durch die Appliance jedoch fehlschlägt, gewährt die Appliance den Zugriff. Es ist sicherer, nur den Zugriff auf bestimmte Hosts zu ermöglichen, als zu versuchen, einige Hosts zu blockieren.
Die Regel all except foo.beispiel.com erlaubt z. B. den Zugriff auf die meistens Hosts außer auf foo.beispiel.com. Wenn das Auflösen des Namens foo.beispiel.com jedoch fehlschlägt, hat foo.beispiel.com Zugriff auf die Appliance, da sie den Namen nicht erkennt.
Andererseits erlaubt die Regel .ibm.com nur den Hosts innerhalb der Domäne ibm.com den Zugriff auf die Appliance. Wenn die Namensauflösung der Domäne ibm.com fehlschlägt, kann kein Host auf die Appliance zugreifen. Je nach Ihren Sicherheitsanforderungen ist dies möglicherweise eine sicherere Option, falls die Sicherheitsüberprüfung fehlschlägt.
Das Format der Client-ID
lautet Muster [, Muster
[, Muster]]
, d. h. eine Liste mit einem oder mehreren Mustern,
die durch Kommas oder Leerzeichen voneinander getrennt sind.
Das Format der einzelnen Muster lautet wie folgt:
Musterformat | Mustertyp | Beschreibung | |
---|---|---|---|
'a.b.c.d' | IP-Adresse | Die IP-Adresse ('a.b.c.d') eines bestimmten Hosts. Vergleicht das ferne System (Host) mit dieser IP-Adresse. | |
'a.' -oder- 'a.b.' -oder- 'a.b.c.' |
IP-Teiladresse | Entspricht einem beliebigen Host, dessen IP-Adresse mit der angegebenen IP-Teiladresse beginnt. Die IP-Teiladresse kann aus einem, zwei oder drei Bytes bestehen ('192.168.' entspricht z. B. einem beliebigen System mit der IP-Adresse 192.168.x.x). Das Muster einer IP-Teiladresse muss mit der Zeichenfolge '.' enden. | |
'Name' -oder- 'Name.Domäne' |
Host-Name | Der Host-Name eines bestimmten Hosts. Vergleicht den Host-Namen mit dem des fernen Systems (Host). | |
'.domainname' | Domänenname | Ein beliebiger Host mit einem Host-Namen, der auf den angegebenen Domänennamen endet ('.ibm.com' z. B. entspricht einem beliebigen System mit einem Host-Namen, der auf '.ibm.com' endet). Ein Teildomänennamensmuster muss mit der Zeichenfolge '.' anfangen. | |
'a.b.c.d/w.x.y.z' | Netzadresse | 'a.b.c.d' ist die Netzadresse, und 'w.x.y.z' ist die Netzmaske. Dieser Eintrag entspricht einem beliebigen Host innerhalt des Teilnetzes, das durch die Netzadresse definiert ist. (D. h., das Teilnetz wird berechnet, indem die angegebene Netzmaske auf die IP-Adresse des anfordernden Systems angewendet wird. Wenn das Ergebnis mit der angegebenen Netzadresse übereinstimmt, entspricht das System dem Eintrag). | |
KNOWN | Bekannte Hosts | Ein Platzhalterzeichen, das einem beliebigen Host entspricht, der bekannt ist (d. h., es kann unter Verwendung von DNS aufgelöst werden). | |
UNKNOWN | Unbekannte Hosts | Ein Platzhalterzeichen, das einem beliebigen Host entspricht, der nicht bekannt ist (d. h., es kann unter Verwendung von DNS nicht aufgelöst werden). | |
LOCAL | Lokale Hosts | Ein Platzhalterzeichen, das einem beliebigen lokalen Host entspricht (d. h. der Host-Name enthält keinen Punkt). | |
PARANOID | Vorgetäuschte Hosts | Ein Platzhalterzeichen, das einem beliebigen Host entspricht, dessen Host-Name nicht seiner IP-Adresse entspricht (d. h. es wird vorgetäuscht, dass der Host über eine Zugriffsberechtigung verfügt). | |
ALL | Alle Hosts | Ein Platzhalterzeichen, das allen Hosts entspricht. In der Regel wird es verwendet, um allen Hosts im Netzwerk Zugriff zu gewähren. |
Beispiele:
.example.com EXCEPT a.example.com, b.example.com
9. 10. EXCEPT badhost.example.com 10.2.2.3
ALL EXCEPT PARANOID, badhost.example.com