Show TOC

Zugriffskontrolllisten (ACLs) einrichtenLocate this document in the navigation structure

Verwendung

Sie können eine Zugriffskontrolliste (ACL, "access control list" ) einrichten und damit steuern, welche Verbindungen der ICM akzeptiert und welche nicht. Grundlage hierfür sind die IP-Adressen der Clients. Für jeden Port des ICM kann eine eigene ACL-Datei angelegt werden.

Vorgehensweise

  1. Legen Sie für den gewünschten Port eine ACL-Datei an gemäß der unten beschriebenen Syntax.

  2. Setzen Sie im Profil des ICM die Option ACLFILE des Parameters icm/server_port_<xx> auf den Dateipfad der ACL-Datei.

    Achtung

    Wenn die Option ACLFILE gesetzt ist, muss die Datei existieren uns syntaktisch korrekt sein. Ansonsten beendet sich der ICM sofort wieder!

    Beim Versuch, einem bereits existierenden Service eine fehlerhafte ACL-Datei zuzuweisen oder nachzuladen, wird die neue Datei ignoriert, und eine bereits existierende ACL-Datei bleibt aktiv.

Syntax der ACL-Datei

Eine Zeile der ACL muss der folgenden Syntax entsprechen:

      
<permit | deny> <ip-address[/mask]> [tracelevel] [# comment]

Hierbei gilt:

  • permit erlaubt eine Verbindung, deny verbietet eine Verbindung.

  • <ip-address> : Die IP-Adresse muss eine IPv4- oder IPv6-Adresse der folgenden Form sein:

    • IPv4: 4 byte, dezimal, '.' separiert: z.B. 10.11.12.13

    • IPv6: 16 byte, hexadezimal, ':' separiert. '::' wird unterstützt

  • <mask> : Wenn eine Maske mit angegeben wird, dann muss es eine Subnetz-Präfixmaske sein:

    • IPv4: 0-32

    • IPv6: 0-128

  • <tracelevel> : Trace-Level, mit dem Treffer (Übereinstimmung der Adressen unter Berücksichtigung der Subnetzmaske) der ACL in die jeweilige Trace-Datei geschrieben wird (Defaultwert 2).

  • <# comment> : Kommentarzeilen beginnen mit einem Gatter # .

  • Die Datei darf Leerzeilen enthalten.

  • Als letzte Regel wird automatisch ein generelles Verbot eingefügt.

Zum eindeutigen Verständnis sollte dennoch eine explizites deny als letzte Regel eingetragen werden. Die Regeln werden sequentiell von oben beginnend geprüft ( "top down" ). Die erste zutreffende Regel bestimmt das Ergebnis ( "first match" ).

Beispiel

permit 10.1.2.0/24         # permit client network

permit 192.168.7.0/24      # permit server network

permit 10.0.0.0/8 1        # screening rule

                           # (learning mode, trace-level 1)

permit 2001:db8::1428:57ab # permit IPv6 host

deny   0.0.0.0/0           # deny the rest