Format des entrées de contrôle d'accès FTP et Telnet - Aide
Le format général d'une entrée correspond à
'identificateur_client'
ou à 'identificateur_client EXCEPT
identificateur_client'
. Les pages Accès FTP et Accès Telnet vous permettent de saisir l'un ou l'autre de ces deux formats.
Si vous choisissez d'utiliser des noms d'hôte dans une entrée, utilisez des noms d'hôte complets. Par exemple, utilisez foo.example.com, et non foo.
Attention : si vous essayez de bloquer l'accès en fonction de noms d'hôte, mais que l'application ne peut pas convertir les noms d'hôte, l'accès sera autorisé. Pour des raisons de sécurité, il est préférable d'autoriser l'accès uniquement aux systèmes hôtes spécifiés plutôt que d'essayer de bloquer certains systèmes hôtes.
Par exemple, la règle all except foo.example.com autorise l'accès au système à la plupart des systèmes hôtes, mais bloque foo.example.com. Cependant, si l'application ne peut pas convertir le nom foo.example.com, le système hôte foo.example.com pourra se connecter, étant donné que l'application ne le reconnaîtra pas.
D'un autre côté, la règle .ibm.com autorise uniquement les systèmes hôtes du domaine ibm.com à se connecter, et si l'application ne parvient pas à résoudre ibm.com, aucun système hôte ne pourra se connecter. Selon vos besoins en matière de sécurité, cette méthode peut s'avérer plus sûre.
Le format de identificateur_client
est modèle [,
modèle [, modèle]]
-- soit une liste d'un ou plusieurs modèles, séparés par des virgules et des espaces.
Le format de chaque modèle est le suivant :
Format du modèle | Type de modèle | Description | |
---|---|---|---|
'a.b.c.d' | Adresse IP | Adresse IP ('a.b.c.d') d'un hôte spécifique. Correspond au système éloigné (hôte) ayant cette adresse IP. | |
'a.' -ou- 'a.b.' -ou- 'a.b.c.' |
Adresse IP partielle | Correspond à tout système hôte dont l'adresse IP commence par l'adresse IP partielle spécifiée. L'adresse IP partielle peut comporter un, deux ou trois octets (par exemple, '192.168.' correspond à tout système dont l'adresse IP est 192.168.x.x). Le modèle d'adresse IP partielle doit se terminer par '.'. | |
'nom' -ou- 'nom.domaine' |
Nom de l'hôte | Nom d'un hôte spécifique. Correspond au système éloigné (hôte) ayant ce nom d'hôte. | |
'.nom_domaine' | Nom de domaine | N'importe quel système hôte dont le nom contient (se termine par) le nom de domaine spécifié (par exemple, '.ibm.com' correspond à tout système dont le nom d'hôte se termine par '.ibm.com'). Le modèle de nom de domaine partiel doit commencer par '.'. | |
'a.b.c.d/w.x.y.z' | Adresse de réseau | 'a.b.c.d' est l'adresse de réseau et 'w.x.y.z' le masque de réseau. Cette entrée correspond à tout système hôte appartenant au sous-réseau défini par l'adresse de réseau (c'est-à-dire que le sous-réseau est calculé en appliquant le masque de réseau spécifié sur l'adresse IP du système demandeur, et si les résultats correspondent à l'adresse de réseau spécifiée, le système correspond à l'entrée). | |
KNOWN | Systèmes hôtes connus | Valeur générique correspondant à n'importe quel système hôte connu (c'est-à-dire pouvant être convertie à l'aide de DNS). | |
UNKNOWN | Systèmes hôtes inconnus | Valeur générique correspondant à n'importe quel système hôte inconnu (c'est-à-dire ne pouvant pas être convertie à l'aide de DNS). | |
LOCAL | Systèmes hôte locaux | Valeur générique correspondant à n'importe quel système hôte local (c'est-à-dire que le nom d'hôte ne contient pas de point). | |
PARANOID | Systèmes hôtes usurpés | Valeur générique correspondant à n'importe quel système hôte dont le nom ne concorde pas avec son adresse IP (c'est-à-dire que le système hôte est usurpé). | |
ALL | Tous les systèmes hôtes | Valeur générique correspondant à tous les systèmes hôtes. Généralement utilisée afin d'octroyer l'accès à tous les systèmes hôtes d'un réseau. |
Exemples :
.example.com EXCEPT a.example.com, b.example.com
9. 10. EXCEPT badhost.example.com 10.2.2.3
ALL EXCEPT PARANOID, badhost.example.com