Show TOC

Zugriffskontrolllisten (ACLs) einrichtenLocate this document in the navigation structure

Verwendung

Sie können eine Zugriffskontrolliste (ACL, "access control list" ) einrichten und damit steuern, welche Verbindungen das Gateway akzeptiert und welche nicht. Grundlage hierfür sind die IP-Adressen der Clients. Für den "allgemeinen" und den "SNC" -Port des Gateways wird die gleiche ACL-Datei verwendet.

Vorgehensweise

  1. Legen Sie eine ACL-Datei an gemäß der unten beschriebenen Syntax.

  2. Setzen Sie im Instanzprofil der Gateway-Instanz den Parameter gw/acl_file auf den Dateipfad der ACL-Datei.

    Achtung

    Wenn dieser Parameter nicht gesetzt ist, akzeptiert das Gateway alle Verbindungsanfragen.

Syntax der ACL-Datei

Eine Zeile der ACL muss der folgenden Syntax entsprechen:

      
<permit | deny> <ip-address[/mask]> [tracelevel] [# comment]

Hierbei gilt:

  • permit erlaubt eine Verbindung, deny verbietet eine Verbindung.

  • <ip-address> : Die IP-Adresse muss eine IPv4- oder IPv6-Adresse der folgenden Form sein:

    • IPv4: 4 byte, dezimal, '.' separiert: z.B. 10.11.12.13

    • IPv6: 16 byte, hexadezimal, ':' separiert. '::' wird unterstützt

  • <mask> : Wenn eine Maske mit angegeben wird, dann muss es eine Subnetz-Präfixmaske sein:

    • IPv4: 0-32

    • IPv6: 0-128

  • <tracelevel> : Trace-Level, mit dem Treffer (Übereinstimmung der Adressen unter Berücksichtigung der Subnetzmaske) der ACL in die jeweilige Trace-Datei geschrieben wird (Defaultwert 2).

  • <# comment> : Kommentarzeilen beginnen mit einem Gatter # .

  • Die Datei darf Leerzeilen enthalten.

  • Als letzte Regel wird automatisch ein generelles Verbot eingefügt.

Zum eindeutigen Verständnis sollte dennoch eine explizites deny als letzte Regel eingetragen werden. Die Regeln werden sequentiell von oben beginnend geprüft ( "top down" ). Die erste zutreffende Regel bestimmt das Ergebnis ( "first match" ).

Beispiel

permit 10.1.2.0/24         # permit client network

permit 192.168.7.0/24      # permit server network

permit 10.0.0.0/8 1        # screening rule

                           # (learning mode, trace-level 1)

permit 2001:db8::1428:57ab # permit IPv6 host

deny   0.0.0.0/0           # deny the rest

Weitere Informationen

Weitere Informationen zu den Parameter finden Sie im Abschnitt Sicherheits-Parameter .