欢迎各位兄弟 发布技术文章

这里的技术是共享的

You are here

serv-U IP 访问规则 有大用

IP 访问规则

IP访问规则是用户验证的一种补充形式,它可以限制登录特定IP地址、IP地

址群、甚至域。可以在服务器、域、群组和用户级别配置IP访问规则。在哪个

级别指定P访问规则也决定了连接在被拒绝前可以深入到哪个程度。发送欢迎

消息前应用服务器和域级别的IP访问规则。当响应HOST命令以连接虚拟域时

也应用域级别的IP访问规则。当客户端向服务器表明身份时,对USE命令的

响应应用群组和用户级别的IP访问规则。

指定这些规则确保了只有某些网络内的客户端可以登录。要配置IP访问规则,

首先指定允许/禁止登录的客户端。要添加规则,请单击添加按钮,并指定受该

规则约束的IP地址或地址范围。如果使用动态DS服务,那么可以指定域名

而不是IP地址,从而允许访问没有静态IP地址的移动客户端。也可使用反向

DS名称。如果创建了域名或反向DNS规则,Serv-U必须执行反向DNS查询

或DS解析以应用这些规则。这会在登录期间取决于系统DS服务器的速度,

引起轻微的延迟。特殊格式允许使用范围和通配符,如下所示:

XXX

精确匹配,例如192.168.1.1(IPv4),fe80:0:0:0:a450:9a2e:ff9d:a915(IPv6,

完整形式)或fe80::a450:9a2e:ff9d:a915(IPv6,简写)。


XXX一XXI

指定范围的IP地址,例如192.168.1.10-19(IPv4)

fe80:0:0:0:a450:9a2e:ff9d:a915-a9aa(IPv6,完整形式),或

fe80::a450:9a2e:ff9d:a915-a9aa(IPv6,简写)。

任何有效的IP地址值,例如192.168.1.*,它类似于192.168.1.0-255,或

fe80::a450:9a2e:ff9d:*,它类似于fe80::a450:9a2e:ff9d:0-ffff。

2

指定反向DNS名称的任何有效字符,例如server?.mydomain.com。

斜杠分隔符允许使用CID记数法来指定应允许或阻止哪些IP地址。常用的

CIDR表示法为/8(用于1.*.*.*),/16(用于1.2.*.*)与/24(用于

1.2.3.)。表示法/32可以用来指定单个IP地址。

Serv-U也支持对基于IPv6地址范围的IP访问规则使用CIDR记数法。使用

IPv4时,斜杠后的数字指示那些地址被视为一部分范围,例如2001:db8::/32。


P访问规则以显示的顺序依次应用。因此可以将特定规则置

后应用列表中更宽泛的规则前允许(或拒绝)访问。列表右侧

列表中单个规则的位置。

反恶意攻击规测无法自动阻止已出现在该列表中的允许地址。

址192.168.0.17引起Serv-L初始化其反恶意攻击规则来阻

是由于列表中已明确允许了192.168.0.17,反恶意攻击规则扇

192.168.0.17。

以下为其工作原理。假设以下IP访问规则:

+192.168.0.17

当出现来自192.168.0.17的活动时,自动IP阻止(通过超

会话活动的系统管理员)无法发生,因为该IP地址是特别启

*表示允许任何人,无仅允许192.168.0.17这个值。如果反

不同的IP地址起效,就会将被阻止的这个IP地址添加到列

-10.10.10.1

+192.168.0.17

十米

如果要允许整块IP地址,可以按照如下说明实现:

+192.168.0.1-255

十米


如果反恶意攻击规则要作用于这些地址中的任何一个,都无法阻止P地址。

比处的关键是通配符*。Srv-U还会检查米.*,米米.米,米.米.*.*作为“任何”

地址。

启用模式

该选项允许P访问列表按数序而非处理顺序进行排序。以排序模式显示IP访

问列表不会更改处理规则的顺序一要查看规则优先级,请禁用该选项。以数序

查看IP访问列表以作为极有价值的工具,在查看冗长的访问规则列表以确定

条目是否存在时很有用。

案例文档一承包商

临时准佣了一名承包商,为了有效完成包的工作需要访问Serv-U文件服务

器。为了避免泄密,授权该承包商不能从地办公室之外的位置访问服务器。办

公室内的所有工作站分配到的IP地址为192.68.10.2到192.168.10.254。

因此,创建允许访问规则如下所示:



以上所示的规则允许承包商从办公室内访问文件服务器,但是因为创建了”允许

访司”规则,因此添加了一条隐式的”拒绝所有访问”规则,该规则阻止从任何

其心地方使用帐户。他被授予其所处位置需要的访问权,但管理员拥有更高的控

制权,

可以控制从哪里能访问数据。

案例文档

放式机器房

用户需要从办公室内访问服务器,但出于安全考虑不能从办公楼内的一组开放式

PC机房内挂行登录。该机器房分配到的IP地址为192.168.15.100到

192.168.15110。因此,创建拒绝访问规则以拒绝对192.168.15.100到

192.168.15110的访问。请记住因为在使用IP访问规则时添加了隐式“拒绝

所有访问”则,在列表末尾必须添加”允许所有访问”规则允许用户从所有其

它地址范围进行登录,这可以通过输入允许访问规则允许对”*.*.**”的访问

来实现。列表尾的这条规则保证了从所有其它IP地址可以进行连接。



案例文档一通过名称访问

examplesite.com

域进行连接的用户应该是唯一可以访问该域的用户。为了

限制可以访问该域的用户,采用基于反向DS和主机名的IP访问规则。首先,

以用户”或“群组”级别创建新的访问规则允许访问米.examplesite.com。然

后,如果以“群组”级别设置此规则,将所有相关用户添加到此组,这样就能对

他们应用此规则。无法以“域”或“服务器”级别设置基于DS的IP访问规

则,因为它们所需的解析时间要长于IP地址IP访问规则,而且若以这些级别

设置它们,可能会减缓其他登录。

注意:为使这条问规则起作用,相关IP地址的PTR记录必须匹配已创建的

规则。一般来说,为使连接IP地址拥有这样的PTR记录,连接客户端必须从

已分配了IP地址范围丈型公司进行连接:通常情况下,动态IP地址不能满

足此要求。

导入/导出IP访问规则

666673



来自  https://wenku.baidu.com/view/4b921b8fb3717fd5360cba1aa8114431b90d8ecb.html


普通分类: