Guida per Formato voce di controllo accessi FTP e Telnet
Il formato generale di una voce è
'client_identifier'
oppure 'client_identifier EXCEPT
client_identifier'
. Le pagine Accesso FTP e Telnet consentono
di immettere uno dei due formati.
Se si sceglie di utilizzare nomi host in una voce, utilizzare nomi host completi. Ad esempio, utilizzare foo.esempio.com, non foo.
Attenzione: se si tenta di bloccare l'accesso basato su nomi host, ma l'Appliance non è in grado di risolvere i nomi host, l'Appliance concederà l'accesso. È più sicuro concedere l'accesso solo agli host specificati, piuttosto che tentare di bloccare alcuni host.
Ad esempio, la regola all except foo.esempio.com concede l'accesso alla maggior parte degli host, ma blocca foo.esempio.com. Tuttavia, se l'Appliance non è in grado di risolvere il nome foo.esempio.com, questo sarà in grado di effettuare la connessione dal momento che l'Appliance non la riconoscerà.
D'altra parte, la regola .ibm.com consente solo agli host nel dominio ibm.com di effettuare la connessione e, se l'Appliance non è in grado di risolvere ibm.com, nessun host sarà in grado di effettuare la connessione. Questo potrebbe essere un metodo più sicuro di gestire la protezione, a seconda delle proprie esigenze.
Il formato di client_identifier
è schema [,
schema [, schema]]
-- cioè, un elenco di uno o più
modelli, separati da virgole o spazi.
Il formato di ciascuno schema è il seguente:
Formato schema | Tipo schema | Descrizione | |
---|---|---|---|
'a.b.c.d' | Indirizzo IP | L'indirizzo IP ('a.b.c.d') di un host specifico. Corrisponde al sistema remoto (host) con questo indirizzo IP. | |
'a.' -oppure- 'a.b.' -oppure- 'a.b.c.' |
Indirizzo IP parziale | Corrisponde a qualsiasi host con un indirizzo IP iniziante con l'indirizzo IP parziale specificato. L'indirizzo IP parziale può essere composto da uno, due o tre byte (ad es., '192.168.' corrisponde a qualsiasi sistema con un indirizzo IP 192.168.x.x). Lo schema di un indirizzo IP deve terminare con '.'. | |
'nome' -oppure- 'nome.dominio' |
Nome host | Il nome host di un host specifico. Corrisponde al sistema remoto (host) con questo nome host. | |
'.nomedominio' | Nome dominio | Qualsiasi host con un nome host contenente (terminante con) il nome dominio specificato (ad es., '.ibm.com' corrisponde a qualsiasi sistema con un nome host terminante con '.ibm.com'). Uno schema di nome dominio parziale deve iniziare con '.'. | |
'a.b.c.d/w.x.y.z' | Indirizzo di rete | 'a.b.c.d' è l'indirizzo di rete e 'w.x.y.z' è la network mask. Questa voce corrisponde a qualsiasi host all'interno della subnet definita dall'indirizzo di rete (cioè, la subnet viene calcolata applicando la network mask specificata all'indirizzo IP del sistema richiedente e se il risultato equivale all'indirizzo di rete specificato, il sistema corrisponde alla voce). | |
KNOWN | Host noti | Un carattere jolly che corrisponde a qualsiasi host noto (cioè, può essere risolto con il DNS). | |
UNKNOWN | Host sconosciuti | Un carattere jolly che corrisponde a qualsiasi host sconosciuto (cioè, che non può essere risolto con il DNS). | |
LOCAL | Host locali | Un carattere jolly che corrisponde a qualsiasi host locale (cioè, il nome host non contiene un punto). | |
PARANOID | Host spoof | Un carattere jolly che corrisponde a qualsiasi host il cui nome non corrisponde al relativo indirizzo IP (cioè, l'host è uno spoof). | |
ALL | Tutti gli host | Un carattere jolly che corrisponde a tutti gli host. Di norma è utilizzato per concedere l'accesso a tutti gli host della rete. |
Ecco alcuni esempi:
.example.com EXCEPT a.example.com, b.example.com
9. 10. EXCEPT badhost.example.com 10.2.2.3
ALL EXCEPT PARANOID, badhost.example.com