Go Back   FlashFXP Forums > > > >

International Help Get help in your native language (non-english).

Reply
 
Thread Tools Rate Thread Display Modes
Old 02-27-2004, 01:32 PM   #1
mr b
Junior Member
 
Join Date: Apr 2003
Posts: 8
Default [German]Hosts.Rules

heyho,
wieder mal eine frage von mir. Undzwa geht es um die Hosts.Rules. Ich verstehe da leider auch durch die Kommentare nicht viel mehr als Bahnhof

Code:
#       Default policy
#
#       POLICY  ACCEPT  CONNECTIONS_PER_IP
#       POLICY  DENY
#
#POLICY	ACCEPT	2
## PLEASE REMOVE LINE BELOW
POLICY DENY

#	Classes
#
#	CLASS	CLASS_NAME	TOTAL_CONNECTIONS_PER_CLASS
CLASS	NORDIC	25
CLASS   ADMIN   -1

#       Rules
#
#       ACCEPT  I|H     IP|HOSTNAME     CLASS_NAME      CONNECTIONS_PER_IP
#       DENY    I|H     IP|HOSTNAME     LOG_STRING
#

ACCEPT  I 192.168.1.    ADMIN   -1
ACCEPT  I 127.0.0.      ADMIN   -1
ACCEPT	H .fi		NORDIC	2
ACCEPT	H .se		NORDIC	1
ACCEPT	H .no		NORDIC	1
DENY    I 192.168.      "Banned network address"
DENY	I 10.		"Banned network address"
DENY	H .tw		"Access from taiwan is prohibited"
Das sind meine Hosts.Rules. Und nun die fragen:
1. was ist hier kommentar und was nicht? - zb. müsste doch "#POLICY ACCEPT 2" ein deaktivierter eintrag sein und # POLICY ACCEPT CONNECTIONS_PER_IP hingehen ein kommentar?
2. könnte mir jemand die einzellenden aktivierten zeilen kommentieren?
3. wofür steht im dritten part das ADMIN und das NORDIC und was soll bei DENY dieser krams in anführungszeichen?
4. stellt die letzte zahl bei ACCEPT die anzahl der erlaubten connections da und bedeutet -1 unendlich?

Ich weiss viele fragen, aber ich fange grade erst mit ioFTPD an und bekomme wenig geregelt Bin über jegliche Hilfe glücklich

hippe-di-hop
b
mr b is offline   Reply With Quote
Old 02-27-2004, 02:06 PM   #2
wrycat_2
Member
 
Join Date: Feb 2003
Posts: 60
Default

Also:

Versuch doch mal das ganze zu Verstehen.

die eingerückten Kommentare sind die Definitionen wie man die Regeln erstellt:

#blablabla, das sind deaktivierte Regeln

# Default Policy
das sind Regeln die immer gelten und über allem stehen.

# Classes
sind Klassen zu denen du IP-Regeln zuordnen kannst.

# Rules
Das sind jetzt die Regeln für einzelne IPs oder IP-Bereiche die sich aufbauen wie der Kommentar ja hinreichend erklärt.:
Code:
#       ACCEPT  I|H     IP|HOSTNAME     CLASS_NAME      CONNECTIONS_PER_IP
#       DENY    I|H     IP|HOSTNAME     LOG_STRING
ACCEPT/deny: annehmen oder verbieten von ...
I|H: Was soll erlaubt/verboten werden? I=IP Adresse oder H = Hostmask
IP|HOSTNAME: IP-Adresse oder Hostmasks für die die regel greifen soll. IPs sind Zahlen wie 213.222.33.456 und Hostmasks sind z.B. p1234567.dialin.t-online.de. oder wenn du alle t-onliner meinst nimmst du .dialin.t-online.de
CLASS_NAME: gilf für ACCEPT Regeln. hier trägst du die CLASS ein zu der diese Regel gehören soll. Siehe Sektion # Classes
LOG_STRING: wird in die ioftpd.log geschrieben wenn eine Verbindung aufgrund dieser Regel abgewiesen wird. Wirg also nur in DENY Regeln benutzt
CONNECTION_PER_IP: erlaubte Verbindungen per IP: 0 = keine, 1, 2, 3, ... Anzahl gleichzeitiger Verbindungen die von einem Rechner aus aufgebaut werden dürfen. -1 = unendlich viele Verbindungen pro IP

Am besten du erstellt eine neue hosts.rules Datei und benennst die vorhandene um. in die neue schreibst du:
Code:
#
#           Default Policy
#


# Wir wollen jedem Benutzer unseres Servers nur 2 gleichzeitige Logins erlauben
POLICY ACCEPT 2


#
#           Classes
#


# Klasse für Verbindungen von Administratoren keine Begrenzung der Logins.
CLASS         ADMINISTRATOR         -1


#
#             Rules
#


# Wir erlauben alle Logins vom internen Lan ohne Begrenzung
ACCEPT  I 192.168.0.   ADMINISTRATOR   -1
# Wir erlauben unbeschränkten Zugriff von dieser Maschiene selbst (Loopback)
ACCEPT  I 127.0.0.1     ADMINISTRATOR   -1
wrycat_2 is offline   Reply With Quote
Old 02-27-2004, 03:14 PM   #3
mr b
Junior Member
 
Join Date: Apr 2003
Posts: 8
Default

okay. das bringt selbst bei mir einiges an licht ein danke dafür.
aber nun noch 2 fragen:
1. wenn ich jetzt mit "DENY I 192.168. "Banned network address"" den zugriff aus dem LAN Block 192.168. verbiete, aber zugleich der class ADMIN durch "ACCEPT I 192.168.1. ADMIN -1" den zugriff aus der range 192.168.1. des obigen Blocks erlaube. was ist dann letztlich gültig? bzw. müsste der ACCEPT für die clas admin nicht nutzlos sein, da ich das ganze vorher per DENY verboten habe?

2. das ganze bringt mich zu meiner 2. frage: wie stellt ioFTPD fest wer zu welcher class gehört und wer damit von welchem network aus zugreifen darf? oder müssen die classnames und groupnames gleich benannt sein?!

hope for same nice support

hippe-di-hop
b
mr b is offline   Reply With Quote
Old 02-27-2004, 03:58 PM   #4
wrycat_2
Member
 
Join Date: Feb 2003
Posts: 60
Default

Quote:
Originally posted by mr b
1. wenn ich jetzt mit "DENY I 192.168. "Banned network address"" den zugriff aus dem LAN Block 192.168. verbiete, aber zugleich der class ADMIN durch "ACCEPT I 192.168.1. ADMIN -1" den zugriff aus der range 192.168.1. des obigen Blocks erlaube. was ist dann letztlich gültig? bzw. müsste der ACCEPT für die clas admin nicht nutzlos sein, da ich das ganze vorher per DENY verboten habe?
Was dann passiert weis ich nicht. Es ist anzunehmen dass wenn DENY 192.168. gilt aber ACCEPT 192.168.0. dass du nur vom Subnet 192.168.0.255 aber nicht aus beispielweise 192.168.1.255 verbinden kannst. Generell gilt: Die speziellere Regel überschreibt die allgemeinere.
Quote:
2. das ganze bringt mich zu meiner 2. frage: wie stellt ioFTPD fest wer zu welcher class gehört und wer damit von welchem network aus zugreifen darf?
Du definierst Klassen "Classes" um diese in den Regeln "Rules" zu verwenden. Wozu sonst?
Quote:
oder müssen die classnames und groupnames gleich benannt sein?
Wo sind da in der Konfig groupnames? Mann hast Du mein Beispiel angeschaut und mal scharf nachgedacht?
wrycat_2 is offline   Reply With Quote
Old 02-27-2004, 05:34 PM   #5
mr b
Junior Member
 
Join Date: Apr 2003
Posts: 8
Default ist ja gut!

woha ... agressiv, agressiv ... agro, agro: Schläger, Türsteher ....

trozdem danke
mr b
mr b is offline   Reply With Quote
Old 02-27-2004, 05:37 PM   #6
NorLan
Senior Member
 
Join Date: Sep 2003
Posts: 110
Default

gut erklärt wrycat *g scheinst schon länger im geschäft zu sein

die host.rules steht sozusagen als erstes zwischen server und client - sie hat mit dem server selbst eigentlich noch nichts zu tun. damit is auch zb erklärt warum man überhaupt keinen connect bekommt wenn die POLICY DENY steht
NorLan is offline   Reply With Quote
Old 02-27-2004, 06:12 PM   #7
wrycat_2
Member
 
Join Date: Feb 2003
Posts: 60
Default Re: ist ja gut!

Quote:
Originally posted by mr b
[B]woha ... agressiv, agressiv ... agro, agro: Schläger, Türsteher ....
Hehe. Wenn ma zu der Gruppe der Andere-fragen-ist-einfacher-als-selber-denken Menschen gehört muss man sich eine gewisse Schärfe im Ton schon gefallen lassen.
Ich hoffe es trägt zum Lernerfolg bei
wrycat_2 is offline   Reply With Quote
Reply

Tags
accept, deny, die, nordic, und

Thread Tools
Display Modes Rate This Thread
Rate This Thread:

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is Off
HTML code is Off

Forum Jump


All times are GMT -5. The time now is 10:59 AM.

Parts of this site powered by vBulletin Mods & Addons from DragonByte Technologies Ltd. (Details)