“FTP 和 Telnet 访问控制项格式”帮助


FTP 和 Telnet 访问控制项格式是 TCP 包装程序 /etc/hosts.allow 配置文件中所使用的格式的子集。下面是可能出现的访问项格式的总结。详细信息请参阅 TCP 包装程序服务 (tcpd) 文档。

控制项的一般格式是 'client_identifier' 或者 'client_identifier EXCEPT client_identifier'。“FTP 和 Telnet 访问”页面允许您输入这两种格式中的任意一种格式。

如果您选择使用某一条目中的主机名,那么请使用全限定主机名。例如,请使用 foo.example.com,而不是 foo

注意:如果您试图阻拦以主机名进行的访问,但设备未能解析出这些主机名,那么该设备将允许访问。只允许访问指定的主机比试图阻拦某些主机要更安全。

例如,规则 all except foo.example.com 允许访问大多数主机,但阻拦 foo.example.com 的主机。但若设备未能解析出 foo.example.com 的名称,则 foo.example.com 可以进行连接,因为设备无法识别该主机名。

另一方面,规则 .ibm.com 只允许连接 ibm.com 域的主机,而且如果设备未能解析 ibm.com,则无法连接任何主机。根据您对安全的不同需求,这或许是在安全性失效时的更保险的方法。

client_identifier 的格式为 pattern [, pattern [, pattern]](即,一种或多种模式的列表,中间用逗号或空格分开)。

每种模式的格式如下所示:

模式格式 模式类型 描述
'a.b.c.d' IP 地址 指定主机的 IP 地址 ('a.b.c.d')。和具有这个 IP 地址的远程系统(主机)匹配。
'a.' -或-
'a.b.' -或-
'a.b.c.'
部分 IP 地址 和任何 IP 地址以指定的部分 IP 地址起始的主机匹配。部分 IP 地址可以是一个、两个或者三个字节(如 '192.168.' 匹配任何 IP 地址为 192.168.x.x 的系统)。部分 IP 地址模式必须以 '.' 结束。 .
'name' -或-
'name.domain'
主机名 指定主机的主机名。匹配具有这个主机名的远程系统(主机)。
'.domainname' 域名 主机名中包含(结束于)指定域名的任何主机(例如,'.ibm.com' 和任何主机名以 '.ibm.com' 结尾的系统相匹配)。部分域名模式必须以 '.' 开始。 .
'a.b.c.d/w.x.y.z'  网络地址 'a.b.c.d' 是网络地址,'w.x.y.z' 是网络掩码。这个条目和网络地址定义的子网中的任何主机匹配(即,子网是通过将指定的网络掩码叠加到发出请求的系统的 IP 地址上来计算的,如果结果等于指定的网络地址,则该系统和该条目匹配)。
KNOWN 已知的主机 一个和任何已知主机匹配的通配符(即,可以使用 DNS 进行解析)。
UNKNOWN 未知主机 一个和任何未知主机匹配的通配符(即,使用 DNS 无法解析)。
LOCAL 本地主机 一个和任何本地主机匹配的通配符(即,主机名中不包含点)。
PARANOID 受电子欺骗的主机 一个通配符,它和任何主机名与自身 IP 地址不匹配的主机匹配(即,该主机被欺骗)。
ALL 所有主机 一个和所有主机匹配的通配符。通常用于授权访问网络中的所有主机。

这里有一些示例: