602SQL-Úplná dokumentace Index  

Filtrování IP adres klientů

602SQL server lze nastavit tak, aby přijímal připojení klientů pouze z určitých IP adres. Nastavení IP adres dovoluje znemožnit přístup klientům z určitých stanic nebo z určitých sítí a je jedním z nástrojů, které zvyšují provozní bezpečnost SQL serveru. Toto nastavení se týká pouze klientů připojujících se s protokolem TCP/IP , nemá vliv na klienty na klienty přistupující na server přímo v rámci jednoho počítače (v prostředí Windows). Samostatně lze nastavit IP filter pro klienty přistupující přes HTTP tunel a také pro přístup z webu přes web XML rozhraní (pouze v případě emulace web serveru SQL serverem, v případě přístupu přes PHP nemá smysl filtrovat).

Pro provoz klientů běžících na stejném počítači jako server v prostředí Linuxu je nutné mezi povolenými adresami uvést 127.0.0.1 a IP adresu počítače. Pro Windows toto není nutné.

Lze zadat adresy, z nichž je povolen přístup, a adresy, z nichž je přístup zakázán. Pokud jsou specifikovány nějaké povolené adresy, pak se klient může připojit, pokud jeho adresa je mezi povolenými adresami a současně není mezi zakázanými adresami. Pokud nejsou uvedené žádné povolené adresy, pak se na server může připojit klient z libovolné adresy, která není mezi zakázanými adresami.

Adresy lze specifikovat buď jednotlivě nebo po skupinách. Skupina adres se zadá pomocí dvojice údajů tvořené adresou X a maskou M. Adresa Y patří do této skupiny, pokud se shoduje s adresou X v těch bitech, které mají v masce M hodnotu 1.

Příklad:

Pokud je skupina zadána adresou 192.168.2.128 a maskou 255.255.255.192, pak do ní patří adresy od 192.168.2.128 do 192.168.2.191.

Je-li v masce hodnota 255 (binárně 11111111), musí se adresa Y shodovat ve všech bitech s adresou X, tzn. musí být ta samá hodnota.

Hodnota adresy X je 128, binárně 10000000. Hodnota masky 192 je binárně 11000000. Adresa Y se musí s X shodovat pouze v prvních dvou bitech hodnoty X, tj. může nabývat hodnot od 10000000 (128) do 10111111 (191).

Je-li v masce hodnota 0 (binárně 00000000), nemusí se adresa Y shodovat v žádném bitu s adresou X, tzn. může být libovolná hodnota.

Nastavování:

IP adresy se specifikují obvykle interaktivně z klientského vývojového prostředí, složky Systém, v okně Provozní parametry na záložkách IP filter pro .... Zvolené hodnoty jsou uloženy jako vlastnosti serveru:

Jako ostatní vlastnosti serveru lze i tyto nastavovat pomocí také funkce Set_property_value.

Například nastavení:

IP_enabled_addr1=192.168.1.0 
IP_enabled_mask1=255.255.255.0
IP_enabled_addr2=192.168.2.128 
IP_enabled_mask2=255.255.255.192
IP_enabled_addr3=192.168.3.33 
IP_disabled_addr1=192.168.1.182 
IP_disabled_mask1=192.168.1.254 
IP_disabled_addr2=192.168.2.170 
IP1_enable_addr1=192.168.3.33

povoluje základní TCP/IP přístup z adres: 192.168.1.0192.168.1.181, 192.168.1.184192.168.1.255, 192.168.2.128192.168.2.169, 192.168.2.171192.168.2.191 a 192.168.3.33. Zároveň povoluje HTTP tunel z adresy 192.168.3.33.

Nastavení:

IP_disabled_addr1=192.168.1.182 
IP_disabled_mask1=192.168.1.254

povoluje přístup ze všech adres kromě 192.168.1.182 a 192.168.1.183.