A 2 IP Konfiguration - Referenzteil
Im Folgenden geben wir eine eher knappe Zusammenfassung der Konfigurationen, die wir bei der Verwendung von TCP/IP empfehlen.
Zugriffskontrolle über Adressen und Domains
(unter UNIX)
Die IP-Zugriffskonfiguration kann unter Verwendung von EtherShare Admin am Macintosh oder unter UNIX mit PCShare Admin oder mit einem Editor wie beispielsweise vi durchgeführt werden. Die "Macintosh-Variante" ist viel einfacher und bequemer. Weitere Details finden Sie in Kapitel
4.5 "HELIOS TCP/IP-Sicherheit" und im Abschnitt
ipaccess in Kapitel
5.8 "HELIOSDIR/var/conf".
Wenn Sie die Konfigurationsdatei "ipaccess" direkt modifizieren, dann müssen Sie dafür nicht den Befehl
"stop-helios" gefolgt von "start-helios" ausführen.
HELIOS Base liest die Konfigurationsdatei bei jeder Anmeldung eines Benutzers am Server neu aus.
In "HELIOSDIR/var/conf/ipaccess" sind die IP-Adressen und Domains aufgelistet, die sich mit dem spezifizierten Host-Computer verbinden dürfen. In dieser Datei sind die folgenden Anweisungen erlaubt:
allow ipaddr/mask
deny ipaddr/mask
allowdomain do.main
denydomain do.main
Wenn die Datei leer (oder überhaupt nicht vorhanden) ist, dann ist der Zugriff für jeden Client erlaubt. Dies würde im Eintrag so aussehen:
Die IP-Adresse 0.0.0.0 mit der Maske 0.0.0.0 passt zu jeder Adresse, daher ist es eine gute Idee die Anweisung:
als letzte Zeile in die Zugriffsliste aufzunehmen und den Zugriff explizit nur für ausgewählte Domains oder
IP-Adressen zu erlauben. Sie können beispielsweise dem Klasse C-Netzwerk 192.9.200 den Zugriff gewähren, indem Sie einfach folgende Anweisung verwenden:
allow 192.9.200.0/255.255.255.0
deny 0.0.0.0/0.0.0.0
Die Maske (in unserem Beispiel 255.255.255.0) spezifiziert die signifikanten Bits, die mit der IP-Adresse verglichen werden. Wenn keine Maske angegeben ist, dann wird 255.255.255.255 als Maske verwendet, d.h. alle Bits der Adresse sind signifikant. Im Beispiel:
allow 192.9.200.1
deny 0.0.0.0/0.0.0.0
wird der Zugriff nur einem einzigen Computer, nämlich dem mit der Adresse 192.9.200.1 gewährt.
Die IP-Adresse kann auch als normaler Hostname angegeben werden. Sie muss dann über einen konfigurierten Name Server wie zum Beispiel DNS oder NIS aufgelöst werden. Wenn DNS oder NIS für die Auflösung von Hostnamen sauber konfiguriert ist, dann können Sie die Zugriffskontrolle auch auf der Basis von Domains realisieren.
verweigert jeder IP-Adresse den Zugriff, die zu einem Hostnamen aufgelöst wird, der mit der Domäne
hacker.com endet. Die Anweisung
allowdomain funktioniert genau andersherum, die Anweisung:
allowdomain company.com
deny 0.0.0.0/0.0.0.0
erlaubt allen Computern den Zugriff, deren IP-Adresse in einem Hostnamen, der mit der Domäne
company.com endet, aufgelöst wird.
Die Domänen-basierte Zugriffskontrolle bewirkt eine Rückwärtssuche nach dem Hostnamen für jede IP-Adresse, die für eine Verbindung zum Server verwendet wird. Wenn Sie IP-Adressen verwenden, für die keine Rückwärtsauflösung vorhanden ist, können beim Aufbau einer Verbindung Wartezeiten auftreten. Bitte beachten Sie, dass jeder willkürliche Domänen (nicht nur seine eigenen Domänen) in seiner inversen DNS-Zuordnung angeben kann, der die Rückwärtsauflösung von einem Satz von IP-Adressen besitzt.
Die folgende Fehlermeldung könnte angezeigt werden, wenn die zu suchende Domäne nicht in der Netzwerkkonfiguration des Host-Computers enthalten ist:
"Can't get IP-Address for hostname (%s). Please check network configuration. Error (%d)."
