Show TOC

Syntax der ACL-DateiLocate this document in the navigation structure

Eine Zeile der ACL muss der folgenden Syntax entsprechen:

<permit | deny> <ip-address[/mask]> [tracelevel] [# comment]

Hierbei gilt:

  • permit erlaubt eine Verbindung, deny verbietet eine Verbindung.

  • <ip-address>: Die IP-Adresse muss eine IPv4- oder IPv6-Adresse der folgenden Form sein:

    • IPv4: 4 byte, dezimal, '.' separiert: z.B. 10.11.12.13

    • IPv6: 16 byte, hexadezimal, ':' separiert. '::' wird unterstützt

  • <mask>: Wenn eine Maske mit angegeben wird, dann muss es eine Subnetz-Präfixmaske sein:

    • IPv4: 0-32

    • IPv6: 0-128

  • <tracelevel>: Trace-Level, mit dem Treffer (Übereinstimmung der Adressen unter Berücksichtigung der Subnetzmaske) der ACL in die jeweilige Trace-Datei geschrieben wird (Defaultwert 2).

  • <# comment>: Kommentarzeilen beginnen mit einem Gatter #.

  • Die Datei darf Leerzeilen enthalten.

Die Regeln werden sequentiell von oben beginnend geprüft ( „top down“). Die erste zutreffende Regel bestimmt das Ergebnis ( „first match“). Wenn keine Regel zutrifft, wird die Verbindung abgelehnt. Zum eindeutigen Verständnis sollte dennoch ein explizites deny(deny 0.0.0.0/0) als letzte Regel eingetragen werden.

Beispiel

permit 10.1.2.0/24         # permit client network

permit 192.168.7.0/24      # permit server network

permit 10.0.0.0/8 1        # screening rule

                           # (learning mode, trace-level 1)

permit 2001:db8::1428:57ab # permit IPv6 host

deny   0.0.0.0/0           # deny the rest