68user's page 掲示板

Prev< No. 487> Next  [最新発言に戻る] [過去ログ一覧]
No. 487 # 68user 1999/10/22 (金) 01:30
ん…X68000.startshop.co.jp の時計がずれてる。

> 「UNIX &インターネットセキュリティ」(O'REILLY)の
> deny,allow は、denyとallowの両方に含まれるhostは許可する
> allow,deny は、denyとallowの両方に含まれるhostは禁止する
> という趣旨の記述
ん〜、これもどうも…何か違うような。確かに order は
まぎらわしいですねぇ。

例えば order deny,allow は
    1. 最初は全て許可
    2. deny で指定されていたら拒否
    3. allow で指定されていたら許可
という手順で評価しますが、大事なのは
    「deny にマッチしても、その後 allow にマッチした場合は、閲覧を許可する」
ということだと思います。

例えば
    阪大からは弾くけど、阪大の工学部(適当)からのみ許可する場合
    order deny,allow
    deny from 133.1
    allow from 133.1.2

    阪大は許可するけど、阪大の工学部だけは弾く場合
    order allow,deny
    deny from 133.1.2
    allow from 133.1
てな感じでどうでしょう。より一般化すると、
    「許可したホスト以外は拒否」なら
        order deny,allow
        deny from all
        allow from 許可するホスト

    「拒否したホスト以外は許可」なら
        order allow,deny
        allow from all
        deny from 拒否するホスト
でしょうか。上の2つの order を逆にすると、どのホストからも
見られなくなります。

素人考えでは、
    deny from 133.1.2
    allow from 133.1
と書けば、上から順に評価する、ってな風にすればわかりやすいのに、
わざわざ order なんか指定できるようにしたからわかりにくくなった、
と思ってます。もしかしたら、もっと難しい理由があって order が
用意されてるのかもしれませんが。

> どちらにも含まれない hostC からのアクセスはどうなるのでしょうか?
許可されると思います。order mutual-failure なら拒否されます。
# order mutual-failure
#  …allow に指定され、deny に指定されていないホストのみ許可。それ以外は拒否。

Prev< No. 487> Next  [最新発言に戻る] [過去ログ一覧]