serv_u help IP 访问规则

IP 访问规则

IP 访问规则是用户验证的一种补充形式，它可以限制登录特定 IP 地址、IP 地址群、甚至域。可以在服务器、域、群组和用户级别配置 IP 访问规则。在哪个级别指定 IP 访问规则也决定了连接在被拒绝前可以深入到哪个程度。发送欢迎消息前应用服务器和域级别的 IP 访问规则。当响应 HOST 命令以连接虚拟域时也应用域级别的 IP 访问规则。当客户端向服务器表明身份时，对 USER 命令的响应应用群组和用户级别的 IP 访问规则。

指定这些规则确保了只有某些网络内的客户端可以登录。要配置 IP 访问规则，首先指定允许/禁止登录的客户端。要添加规则，请单击添加按钮，并指定受该规则约束的 IP地址或地址范围。如果使用动态 DNS 服务，那么可以指定域名而不是 IP 地址，从而允许访问没有静态 IP 地址的移动客户端。也可使用反向 DNS 名称。如果创建了域名或反向 DNS 规则，Serv-U 必须执行反向 DNS 查询或 DNS 解析以应用这些规则。这会在登录期间取决于系统 DNS 服务器的速度，引起轻微的延迟。特殊格式允许使用范围和通配符，如下所示：

xxx

精确匹配，例如192.168.1.1（IPv4），fe80:0:0:0:a450:9a2e:ff9d:a915（IPv6, 完整形式）或 fe80::a450:9a2e:ff9d:a915（IPv6，简写）。

xxx-xxx

指定范围的 IP 地址，例如192.168.1.10-19（IPv4）， fe80:0:0:0:a450:9a2e:ff9d:a915-a9aa（IPv6，完整形式），或 fe80::a450:9a2e:ff9d:a915-a9aa（IPv6，简写）。

*

任何有效的 IP 地址值，例如192.168.1.*，它类似于192.168.1.0-255，或fe80::a450:9a2e:ff9d:*，它类似于 fe80::a450:9a2e:ff9d:0-ffff。

?

指定反向 DNS 名称的任何有效字符，例如 server?.mydomain.com。

/

斜杠分隔符允许使用 CIDR 记数法来指定应允许或阻止哪些 IP 地址。常用的 CIDR 表示法为/8 (用于1.*.*.*),/16 (用于1.2.*.*)与/24 (用于1.2.3.*)。表示法 /32 可以用来指定单个IP 地址。

Serv-U 也支持对基于 IPv6 地址范围的 IP 访问规则使用 CIDR 记数法。使用 IPv4 时，斜杠后的数字指示那些地址被视为一部分范围，例如2001:db8::/32。

IP 访问规则以显示的顺序依次应用。因此可以将特定规则置于顶部，以便在以后应用列表中更宽泛的规则前允许（或拒绝）访问。列表右侧的箭头可用来更改列表中单个规则的位置。

反恶意攻击规则无法自动阻止已出现在该列表中的允许地址。例如，本地 IP 地址 192.168.0.17 引起Serv-U 初始化其反恶意攻击规则来阻止该 IP 地址，但是由于列表中已明确允许了192.168.0.17，反恶意攻击规则就无法自动阻止 192.168.0.17。

以下为其工作原理。假设以下 IP 访问规则：

+ 192.168.0.17
+ *

当出现来自 192.168.0.17 的活动时, 自动 IP 阻止（通过超时、反恶意攻击或会话活动的系统管理员）无法发生，因为该 IP 地址是特别启用的。底部的项目 * 表示允许任何人，无仅允许192.168.0.17 这个值。如果反恶意攻击对另一个不同的 IP 地址起效，就会将被阻止的这个 IP 地址添加到列表顶部，如下所示：

- 10.10.10.1
+ 192.168.0.17
+ *

如果要允许整块 IP 地址，可以按照如下说明实现：

+ 192.168.0.1-255
+ *

如果反恶意攻击规则要作用于这些地址中的任何一个，都无法阻止该 IP 地址。此处的关键是通配符*。Serv-U 还会检查 *.*,*.*.*, *.*.*.* 作为“任何” IP 地址。

启用排序模式

该选项允许 IP 访问列表按数序而非处理顺序进行排序。以排序模式显示 IP 访问列表不会更改处理规则的顺序 - 要查看规则优先级，请禁用该选项。以数序查看 IP 访问列表可以作为极有价值的工具，在查看冗长的访问规则列表以确定条目是否存在时很有用。

案例文档 - 承包商

临时雇佣了一名承包商，为了有效完成承包的工作需要访问 Serv-U 文件服务器。为了避免泄密，授权该承包商不能从工地办公室之外的位置访问服务器。办公室内的所有工作站分配到的 IP 地址为 192.168.10.2 到 192.168.10.254。因此，创建允许访问规则如下所示：

以上所示的规则允许承包商从办公室内访问文件服务器，但是因为创建了 "允许访问" 规则，因此添加了一条隐式的 "拒绝所有访问" 规则，该规则阻止从任何其它地方使用帐户。他被授予其所处位置需要的访问权，但管理员拥有更高的控制权，可以控制从哪里能访问数据。

案例文档 - 开放式机器房

用户需要从办公室内访问服务器，但出于安全考虑不能从办公楼内的一组开放式 PC 机房内进行登录。该机器房分配到的 IP 地址为 192.168.15.100 到 192.168.15.110。因此，创建拒绝访问规则以拒绝对192.168.15.100 到 192.168.15.110 的访问。请记住因为在使用 IP 访问规则时添加了隐式 "拒绝所有访问" 规则，在列表末尾必须添加 "允许所有访问" 规则允许用户从所有其它地址范围进行登录，这可以通过输入允许访问规则允许对"*.*.*.*" 的访问来实现。列表末尾的这条规则保证了从所有其它 IP 地址可以进行连接。

案例文档 - 通过名称访问

从 examplesite.com 域进行连接的用户应该是唯一可以访问该域的用户。为了限制可以访问该域的用户，采用基于反向 DNS 和主机名的 IP 访问规则。首先，以“用户”或“群组”级别创建新的访问规则允许访问*.examplesite.com。然后，如果以“群组”级别设置此规则，将所有相关用户添加到此组，这样就能对他们应用此规则。无法以“域”或“服务器”级别设置基于 DNS 的 IP 访问规则，因为它们所需的解析时间要长于 IP 地址 IP 访问规则，而且若以这些级别设置它们，可能会减缓其他登录。

注意：为使这条访问规则起作用，相关 IP 地址的 PTR 记录必须匹配已创建的规则。一般来说，为使连接 IP 地址拥有这样的 PTR 记录，连接客户端必须从已分配了 IP 地址范围的大型公司进行连接;通常情况下，动态 IP 地址不能满足此要求。

导入/导出 IP 访问规则

可以利用基于文本、且由逗号分隔值（CSV）的标准文件，从用户、群组、域和服务器中导入和导出 Serv-U IP 访问规则。要导出 IP 访问规则，请查看要导出的规则列表并点击“导出”按钮，指定要保存列表的路径和文件名。要导入 IP 访问规则，请点击“导入”按钮并选择要导入的含有规则的文件。CSV 文件必须包含以下字段和报头：

-IP - 该规则将应用到的 IP 地址、IP 范围、CIDR 块或域名

-Allow - 将此值设置为0表示拒绝，或设置为1表示允许

-Description - 规则的文本说明，供用户参考