Show TOC

Dokumentation zur VorgehensweiseZugriffskontrolllisten (ACLs) einrichten Dieses Dokument in der Navigationsstruktur finden

 

Sie können eine Zugriffskontrolliste (ACL, „access control list“) einrichten und damit steuern, welche Verbindungen das Gateway akzeptiert und welche nicht. Grundlage hierfür sind die IP-Adressen der Clients. Für den „allgemeinen“ und den „SNC“-Port des Gateways wird die gleiche ACL-Datei verwendet.

Vorgehensweise

  1. Legen Sie eine ACL-Datei an gemäß der unten beschriebenen Syntax.

  2. Setzen Sie im Instanzprofil der Gateway-Instanz den Parameter gw/acl_file auf den Dateipfad der ACL-Datei.

    Achtung Achtung

    Wenn dieser Parameter nicht gesetzt ist, akzeptiert das Gateway alle Verbindungsanfragen.

    Ende der Warnung.
Syntax der ACL-Datei

Eine Zeile der ACL muss der folgenden Syntax entsprechen:

Syntax Syntax

  1. <permit | deny> <ip-address[/mask]> [tracelevel] [# comment]
Ende des Codes

Hierbei gilt:

  • permit erlaubt eine Verbindung, deny verbietet eine Verbindung.

  • <ip-address>: Die IP-Adresse muss eine IPv4- oder IPv6-Adresse der folgenden Form sein:

    • IPv4: 4 byte, dezimal, '.' separiert: z.B. 10.11.12.13

    • IPv6: 16 byte, hexadezimal, ':' separiert. '::' wird unterstützt

  • <mask>: Wenn eine Maske mit angegeben wird, dann muss es eine Subnetz-Präfixmaske sein:

    • IPv4: 0-32

    • IPv6: 0-128

  • <tracelevel>: Trace-Level, mit dem Treffer (Übereinstimmung der Adressen unter Berücksichtigung der Subnetzmaske) der ACL in die jeweilige Trace-Datei geschrieben wird (Defaultwert 2).

  • <# comment>: Kommentarzeilen beginnen mit einem Gatter #.

  • Die Datei darf Leerzeilen enthalten.

  • Als letzte Regel wird automatisch ein generelles Verbot eingefügt.

Zum eindeutigen Verständnis sollte dennoch eine explizites deny als letzte Regel eingetragen werden. Die Regeln werden sequentiell von oben beginnend geprüft („top down“). Die erste zutreffende Regel bestimmt das Ergebnis („first match“).

Beispiel Beispiel

Beispieldatei

permit 10.1.2.0/24         # permit client network

permit 192.168.7.0/24      # permit server network

permit 10.0.0.0/8 1        # screening rule

                           # (learning mode, trace-level 1)

permit 2001:db8::1428:57ab # permit IPv6 host

deny   0.0.0.0/0           # deny the rest
Ende des Beispiels.

Weitere Informationen

Weitere Informationen zu den Parameter finden Sie im Abschnitt Sicherheits-Parameter.