Parameter:
Allow_Passthru_TargetsKurzbeschreibung: Liste der Server, zu denen Passthru-Verbindungen über diesen Server zugelassen sind (Zielseite des Passthru-Hops)
Steckbrief
Parameter | Allow_Passthru_Targets |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 9.0.1 |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Server-Dokument (Security → Destinations allowed) |
Mögliche Werte | Kommaseparierte Namensliste (Server-DNs); leer = beliebig (mit Allow_Passthru_Access Pflicht) |
Beschreibung
Während
Allow_Passthru_Clients regelt, wer den Server als Hop nutzen darf, schränkt Allow_Passthru_Targets ein, wohin die Reise gehen darf. Damit lässt sich verhindern, dass ein DMZ-Server unbeabsichtigt als Sprungbrett zu beliebigen internen Servern dient.Leer = keine Einschränkung auf Zielseite; sicherer ist eine explizite Whitelist relevanter Backend-Server.
Beispiel-Konfiguration
Allow_Passthru_Targets=*/MailServers/acme,*/AppServers/acme
Hinweise & Stolperfallen
- Bei DMZ-Servern als zusätzliches Sicherheitsnetz pflegen.
- Greift nur in Verbindung mit
Allow_Passthru_Access/Clients/Callers.
- Audit über
Log_Passthru=1während Roll-out aktivieren.
- Bei Server-Reorgs (Umbenennung von Backend-Servern) Liste mit anpassen.
- Änderung wirkt nach Server-Neustart.