workbench/network/stacks/AROSTCP/db/inet.access

   1 ;
   2 ; inet.access -- Access control list for AROSTCP
   3 ;
   4 ; Copyright © 1993, 1994  AmiTCP/IP Group, <amitcp-group@hut.fi>
   5 ;                         Helsinki University of Technology, Finland.
   6 ;                         All rights reserved.
   7 ;
   8 ; Comments are from ';' or '#' to end of line
   9 ;
  10 ; This file should be included from netdb-file with following line:
  11 ; WITH inet.access PREFIX=ACCESS
  12 ;
  13 ; AROSTCP implements an access control feature similar to `tcpd' inside the
  14 ; protocol stack. This means connection doesn't even get established if the
  15 ; connection is to be denied, remote end just gets the usual
  16 ; `connection refused' error message.
  17 ;
  18 ; When connection request arrives, the access entry list is searched through
  19 ; sequentially line by line until a match is found. Access entry lines looks
  20 ; like the following...
  21 ;
  22 ; <service>  <host/mask>  <access>  [LOG]
  23 ;
  24 ; It is first checked whether the port where connection is made matches the
  25 ; port given <service>. Service can be given as a port number, already parsed
  26 ; netdb service entry, or `*' or `@', meaning that check host for every
  27 ; destination port or every privileged destination port, respectively.
  28 ;
  29 ; Now, if port matched the source host internet address is compared with the
  30 ; host value given in current access entry. Mask can be used to ignore some
  31 ; bits when comparing, for example whole subnet can be checked with only one
  32 ; entry in access control list. The host value may also contain that mask
  33 ; information by having `*' in place of some number in host value given in
  34 ; internet not notation format (see the examples).
  35 ;
  36 ; If host matched, The next thing to do is to see whether connection is to
  37 ; be accepted or not. if <access> says `allow' connection is to be established,
  38 ; if `deny' connection request is dropped.
  39 ;
  40 ; If LOG is written last in the access entry list, Info whether connection
  41 ; was accepted or denied, with corresponding remote host and destination port
  42 ; is written to the syslog.
  43 ;
  44 ; *Example list
  45 ;
  46 ; Service  Host[/Mask]            Access [LOG]
  47 ;
  48 ; finger   127.1                  allow  LOG
  49 ; *        130.233.*.*            allow
  50 ; nntp     130.233.0/255.252.0.0  allow  LOG
  51 ; @        *.*.*.*                deny
  52 ; *        *.*.*.*                allow  LOG
  53 ;
  54 ; The list tells that finger queries from local host is to be logged. (2)
  55 ; All connections from hosts whose addresses start with 130.233 are to be
  56 ; allowed and (3) hosts in a bit wider set of class b -networks can access
  57 ; nntpd server of this host. and these connections will be logged.
  58 ; Next line tells that connections to any incoming privileged ports are to
  59 ; be disallowed and the last one will then allow the rest ports and this
  60 ; activity will be logged. Without this line these connections would be
  61 ; accepted silently, since that would be the default operation if no matches
  62 ; were found.
  63 ; The last 2 lines in that example are quite useful. It doesn't permit ftp to
  64 ; work since it binds a data transfer socket greater than 1023, but it
  65 ; disallows unwanted hosts to access normal features effectively. Some
  66 ; nonstandard services, such as netfs and irc can then be access controlled
  67 ; with port-spesific entries in this access control list.
  68
  69 ;Service   Host[/Mask]   Access   [LOG]
  70 ; *** add your entries here ***
  71
  72 ; EOF
  73