Guida per Formato voce di controllo accessi FTP e Telnet


Il formato delle voci di controllo degli accessi a FTP e Telnet è un sottoinsieme di quello utilizzato nel file di configurazione /etc/hosts.allow dei wrapper TCP. Di seguito è riportato un riepilogo dei possibili formati di voce. Consultare la documentazione relativa al servizio dei wrapper TCP (tcpd) per ulteriori informazioni.

Il formato generale di una voce è 'client_identifier' oppure 'client_identifier EXCEPT client_identifier'. Le pagine Accesso FTP e Telnet consentono di immettere uno dei due formati.

Se si sceglie di utilizzare nomi host in una voce, utilizzare nomi host completi. Ad esempio, utilizzare foo.esempio.com, non foo.

Attenzione: se si tenta di bloccare l'accesso basato su nomi host, ma l'Appliance non è in grado di risolvere i nomi host, l'Appliance concederà l'accesso. È più sicuro concedere l'accesso solo agli host specificati, piuttosto che tentare di bloccare alcuni host.

Ad esempio, la regola all except foo.esempio.com concede l'accesso alla maggior parte degli host, ma blocca foo.esempio.com. Tuttavia, se l'Appliance non è in grado di risolvere il nome foo.esempio.com, questo sarà in grado di effettuare la connessione dal momento che l'Appliance non la riconoscerà.

D'altra parte, la regola .ibm.com consente solo agli host nel dominio ibm.com di effettuare la connessione e, se l'Appliance non è in grado di risolvere ibm.com, nessun host sarà in grado di effettuare la connessione. Questo potrebbe essere un metodo più sicuro di gestire la protezione, a seconda delle proprie esigenze.

Il formato di client_identifier è schema [, schema [, schema]] -- cioè, un elenco di uno o più modelli, separati da virgole o spazi.

Il formato di ciascuno schema è il seguente:

Formato schema Tipo schema Descrizione
'a.b.c.d' Indirizzo IP L'indirizzo IP ('a.b.c.d') di un host specifico. Corrisponde al sistema remoto (host) con questo indirizzo IP.
'a.' -oppure-
'a.b.' -oppure-
'a.b.c.'
Indirizzo IP parziale Corrisponde a qualsiasi host con un indirizzo IP iniziante con l'indirizzo IP parziale specificato. L'indirizzo IP parziale può essere composto da uno, due o tre byte (ad es., '192.168.' corrisponde a qualsiasi sistema con un indirizzo IP 192.168.x.x). Lo schema di un indirizzo IP deve terminare con '.'.
'nome' -oppure-
'nome.dominio'
Nome host Il nome host di un host specifico. Corrisponde al sistema remoto (host) con questo nome host.
'.nomedominio' Nome dominio Qualsiasi host con un nome host contenente (terminante con) il nome dominio specificato (ad es., '.ibm.com' corrisponde a qualsiasi sistema con un nome host terminante con '.ibm.com'). Uno schema di nome dominio parziale deve iniziare con '.'.
'a.b.c.d/w.x.y.z'  Indirizzo di rete 'a.b.c.d' è l'indirizzo di rete e 'w.x.y.z' è la network mask. Questa voce corrisponde a qualsiasi host all'interno della subnet definita dall'indirizzo di rete (cioè, la subnet viene calcolata applicando la network mask specificata all'indirizzo IP del sistema richiedente e se il risultato equivale all'indirizzo di rete specificato, il sistema corrisponde alla voce).
KNOWN Host noti Un carattere jolly che corrisponde a qualsiasi host noto (cioè, può essere risolto con il DNS).
UNKNOWN Host sconosciuti Un carattere jolly che corrisponde a qualsiasi host sconosciuto (cioè, che non può essere risolto con il DNS).
LOCAL Host locali Un carattere jolly che corrisponde a qualsiasi host locale (cioè, il nome host non contiene un punto).
PARANOID Host spoof Un carattere jolly che corrisponde a qualsiasi host il cui nome non corrisponde al relativo indirizzo IP (cioè, l'host è uno spoof).
ALL Tutti gli host Un carattere jolly che corrisponde a tutti gli host. Di norma è utilizzato per concedere l'accesso a tutti gli host della rete.

Ecco alcuni esempi: