PDA

View Full Version : [German]Hosts.Rules


mr b
02-27-2004, 01:32 PM
heyho,
wieder mal eine frage von mir. Undzwa geht es um die Hosts.Rules. Ich verstehe da leider auch durch die Kommentare nicht viel mehr als Bahnhof:(

# Default policy
#
# POLICY ACCEPT CONNECTIONS_PER_IP
# POLICY DENY
#
#POLICY ACCEPT 2
## PLEASE REMOVE LINE BELOW
POLICY DENY

# Classes
#
# CLASS CLASS_NAME TOTAL_CONNECTIONS_PER_CLASS
CLASS NORDIC 25
CLASS ADMIN -1

# Rules
#
# ACCEPT I|H IP|HOSTNAME CLASS_NAME CONNECTIONS_PER_IP
# DENY I|H IP|HOSTNAME LOG_STRING
#

ACCEPT I 192.168.1. ADMIN -1
ACCEPT I 127.0.0. ADMIN -1
ACCEPT H .fi NORDIC 2
ACCEPT H .se NORDIC 1
ACCEPT H .no NORDIC 1
DENY I 192.168. "Banned network address"
DENY I 10. "Banned network address"
DENY H .tw "Access from taiwan is prohibited"

Das sind meine Hosts.Rules. Und nun die fragen:
1. was ist hier kommentar und was nicht? - zb. müsste doch "#POLICY ACCEPT 2" ein deaktivierter eintrag sein und # POLICY ACCEPT CONNECTIONS_PER_IP hingehen ein kommentar?
2. könnte mir jemand die einzellenden aktivierten zeilen kommentieren?
3. wofür steht im dritten part das ADMIN und das NORDIC und was soll bei DENY dieser krams in anführungszeichen?
4. stellt die letzte zahl bei ACCEPT die anzahl der erlaubten connections da und bedeutet -1 unendlich?

Ich weiss viele fragen, aber ich fange grade erst mit ioFTPD an und bekomme wenig geregelt:( Bin über jegliche Hilfe glücklich:D

hippe-di-hop
b

wrycat_2
02-27-2004, 02:06 PM
Also:

Versuch doch mal das ganze zu Verstehen.

die eingerückten Kommentare sind die Definitionen wie man die Regeln erstellt:

#blablabla, das sind deaktivierte Regeln

# Default Policy
das sind Regeln die immer gelten und über allem stehen.

# Classes
sind Klassen zu denen du IP-Regeln zuordnen kannst.

# Rules
Das sind jetzt die Regeln für einzelne IPs oder IP-Bereiche die sich aufbauen wie der Kommentar ja hinreichend erklärt.:
# ACCEPT I|H IP|HOSTNAME CLASS_NAME CONNECTIONS_PER_IP
# DENY I|H IP|HOSTNAME LOG_STRING ACCEPT/deny: annehmen oder verbieten von ...
I|H: Was soll erlaubt/verboten werden? I=IP Adresse oder H = Hostmask
IP|HOSTNAME: IP-Adresse oder Hostmasks für die die regel greifen soll. IPs sind Zahlen wie 213.222.33.456 und Hostmasks sind z.B. p1234567.dialin.t-online.de. oder wenn du alle t-onliner meinst nimmst du .dialin.t-online.de
CLASS_NAME: gilf für ACCEPT Regeln. hier trägst du die CLASS ein zu der diese Regel gehören soll. Siehe Sektion # Classes
LOG_STRING: wird in die ioftpd.log geschrieben wenn eine Verbindung aufgrund dieser Regel abgewiesen wird. Wirg also nur in DENY Regeln benutzt
CONNECTION_PER_IP: erlaubte Verbindungen per IP: 0 = keine, 1, 2, 3, ... Anzahl gleichzeitiger Verbindungen die von einem Rechner aus aufgebaut werden dürfen. -1 = unendlich viele Verbindungen pro IP

Am besten du erstellt eine neue hosts.rules Datei und benennst die vorhandene um. in die neue schreibst du:

#
# Default Policy
#


# Wir wollen jedem Benutzer unseres Servers nur 2 gleichzeitige Logins erlauben
POLICY ACCEPT 2


#
# Classes
#


# Klasse für Verbindungen von Administratoren keine Begrenzung der Logins.
CLASS ADMINISTRATOR -1


#
# Rules
#


# Wir erlauben alle Logins vom internen Lan ohne Begrenzung
ACCEPT I 192.168.0. ADMINISTRATOR -1
# Wir erlauben unbeschränkten Zugriff von dieser Maschiene selbst (Loopback)
ACCEPT I 127.0.0.1 ADMINISTRATOR -1

mr b
02-27-2004, 03:14 PM
okay. das bringt selbst bei mir einiges an licht ein:) danke dafür.
aber nun noch 2 fragen:
1. wenn ich jetzt mit "DENY I 192.168. "Banned network address"" den zugriff aus dem LAN Block 192.168. verbiete, aber zugleich der class ADMIN durch "ACCEPT I 192.168.1. ADMIN -1" den zugriff aus der range 192.168.1. des obigen Blocks erlaube. was ist dann letztlich gültig? bzw. müsste der ACCEPT für die clas admin nicht nutzlos sein, da ich das ganze vorher per DENY verboten habe?

2. das ganze bringt mich zu meiner 2. frage: wie stellt ioFTPD fest wer zu welcher class gehört und wer damit von welchem network aus zugreifen darf? oder müssen die classnames und groupnames gleich benannt sein?!

hope for same nice support:D

hippe-di-hop
b

wrycat_2
02-27-2004, 03:58 PM
Originally posted by mr b
1. wenn ich jetzt mit "DENY I 192.168. "Banned network address"" den zugriff aus dem LAN Block 192.168. verbiete, aber zugleich der class ADMIN durch "ACCEPT I 192.168.1. ADMIN -1" den zugriff aus der range 192.168.1. des obigen Blocks erlaube. was ist dann letztlich gültig? bzw. müsste der ACCEPT für die clas admin nicht nutzlos sein, da ich das ganze vorher per DENY verboten habe?Was dann passiert weis ich nicht. Es ist anzunehmen dass wenn DENY 192.168. gilt aber ACCEPT 192.168.0. dass du nur vom Subnet 192.168.0.255 aber nicht aus beispielweise 192.168.1.255 verbinden kannst. Generell gilt: Die speziellere Regel überschreibt die allgemeinere.2. das ganze bringt mich zu meiner 2. frage: wie stellt ioFTPD fest wer zu welcher class gehört und wer damit von welchem network aus zugreifen darf? Du definierst Klassen "Classes" um diese in den Regeln "Rules" zu verwenden. Wozu sonst?oder müssen die classnames und groupnames gleich benannt sein?Wo sind da in der Konfig groupnames? Mann hast Du mein Beispiel angeschaut und mal scharf nachgedacht?

mr b
02-27-2004, 05:34 PM
woha ... agressiv, agressiv ... agro, agro: Schläger, Türsteher ....

trozdem danke
mr b

NorLan
02-27-2004, 05:37 PM
gut erklärt wrycat *g scheinst schon länger im geschäft zu sein

die host.rules steht sozusagen als erstes zwischen server und client - sie hat mit dem server selbst eigentlich noch nichts zu tun. damit is auch zb erklärt warum man überhaupt keinen connect bekommt wenn die POLICY DENY steht

wrycat_2
02-27-2004, 06:12 PM
Originally posted by mr b
[B]woha ... agressiv, agressiv ... agro, agro: Schläger, Türsteher ....:D :p Hehe. Wenn ma zu der Gruppe der Andere-fragen-ist-einfacher-als-selber-denken Menschen gehört muss man sich eine gewisse Schärfe im Ton schon gefallen lassen.
Ich hoffe es trägt zum Lernerfolg bei :p