FTP 及 Telnet 存取控制登錄格式說明


FTP 及 Telnet 存取控制登錄的格式是一種子集,用於 TCP 外層 /etc/hosts.allow 配置檔中。 下列是可能的登錄格式摘要。請參閱 TCP 外層服務 (tcpd) 的文件,以取得其餘資訊。

一般的登錄格式是 'client_identifier''client_identifier EXCEPT client_identifier'。「FTP 及 Telnet 存取」頁可讓您進入任一格式。

若您選擇在登錄中使用主電腦名稱,請使用完整的主電腦名稱。例如,使用 foo.example.com,而不是 foo

警告:若您嘗試在主電腦名稱上限制存取, 但裝置無法解析此主電腦名稱, 裝置將會允許存取。僅允許存取指定的主電腦比嘗試限制部份主電腦較為安全。

舉例而言,除 foo.example.com 之外全部 規則允許大部份主電腦,但限制 foo.example.com。然而若是裝置 無法解析名稱 foo.example.com,則自從裝置無法辨識該名稱開始, 將可以連接到 foo.example.com。

相反的,.ibm.com 規則僅允許 連接 ibm.com 網域之中的主電腦,若裝置 無法解析 ibm.com,則無法連接任何的主電腦。 依據您的安全性需求,比起失敗,這可能是針對安全性較好的方法。

client_identifier 的格式是 pattern [, pattern [, pattern]] -- 亦即,一或多個型樣的清單,型樣以以逗點或空格區隔。

每一個型樣的格式如下:

型樣格式 型樣類型 說明
'a.b.c.d' IP 位址 特定主電腦的 IP 位址 ('a.b.c.d')。配合遠端系統(主電腦)與此 IP 位址
'a.' -或-
'a.b.' -或-
'a.b.c.'
部份 IP 位址 配合任何主電腦與已指定的部份 IP 位址起首的 IP 位址。 部份 IP 位址可以是一、二或三位元組(例:'192.168.',配合具有 IP 位址 192.168.x.x 的任何系統)。部份 IP 位址型樣必須以 '.' 結尾.
'name' -或-
'name.domain'
主電腦名稱 特定主電腦的主電腦名稱。配合遠端系統(主電腦)與此主電腦名稱。
'.domainname' 網域名稱 任何含有(結尾為)指定網域名稱(例:'.ibm.com' 會配合任何主電腦名稱以 '.ibm.com' 結尾的系統)之主電腦名稱的主電腦。 部份網域名稱型樣必須以 '.' 開頭.
'a.b.c.d/w.x.y.z'  網址 'a.b.c.d' 是網址,且 'w.x.y.z' 是網路遮罩。 此登錄會配合由網址所定義的次網路中的任何主電腦。 (例:次網路的計算是套用指定的網路遮罩到要求系統的 IP 位址,且如果結果等於指定網址,則系統符合登錄)。
KNOWN 已知的主電腦 符合任何已知主電腦(例:可以使用 DNS 加以解析)的萬用字元。
UNKNOWN 不明主電腦 符合任何未知的主電腦(例:無法使用 DNS 加以解析)的萬用字元。
LOCAL 區域主電腦 符合任何區域主電腦(例:不含點的主電腦名稱)的萬用字元。
PARANOID 假造的主電腦 符合任何主電腦名稱與其 IP 位址不相符之主電腦(例:主電腦是假造的)的萬用字元。
ALL 所有主電腦 符合所有主電腦的萬用字元。通常用來授與對網路中所有主電腦的存取權。

部份範例如下: