Autore: PUOJACKZ Data: 2005-12-28 Modificato: Documento non modificato Letture: 1110 Torna indietro

La WildCard Mask è un numero di 32 bit diviso in 4 otteti. Quest'ultimo conserva la stessa divisione (8 bit per otteto), della notazione decimale puntata degli indirizzi IPv4.
Questa, solitamente, viene abbinata ad un indirizzo IP, in modo simile alla SubNet Mask e, i bit, assumono valori 1 o 0, per stabilire come elaborare i corrispondenti bit dell'indirizzo IP. Il termine stesso, indica il procedimento di checking su una qualsiasi Access List, tramite una maschera.
L'analogia nasce dal Jolly (WildCard), usato nel gioco del poker, che permette l'abbinamento, a tale carta, di una qualsiasi altra pari, presente nel mazzo.
Più in preciso, gli 0 e 1 nella WildCard stabiliscono se i bit, corrispondenti nell'indirizzo IP, devono essere controllati o ignorati. Ogni bit a 0, della WildCard Mask, indica che il bit corrisposto dev'essere incluso nel processo di controllo dell'uguaglianza, mentre il valore 1 tralascia ogni vincolo di confronto.

Alcuni esempi. Con il carattere 'C' andremo ad indicare quale parte dell'indirizzo IP deve coincidere e quale, invece, può assumere un qualsiasi valore. In un certo senso, si và a stabilire un Pattern.

WildCard Mask:

00000000.00000000.00000000.00000000 (in annotazione decimale puntata: 0.0.0.0)

Tutti i bit dell'indirizzo devono coincidere (corrispondenza piena). Se una comunicazione avviene dall'indirizzo 10.5.2.8 e l'ACL è settata per bloccare il traffico da 10.5.2.8, con una WildCard Mask di 0.0.0.0, qualora, successivamente, arrivi un pacchetto, nell'ipotetica interfaccia ove l'ACL è attiva, con un indirizzo IP 10.5.2.9, quest'ultima NON sarà soggetta al blocco (o, comunque, alla decisione logica impostata nell'Access List, Deny o Permit che sia).
Se la WildCard Mask fosse stata:

00000000.00000000.00000000.00111111 (in annotazione decimale puntata: 0.0.0.63)

le comunicazioni provenienti dal range d'IP che va da 10.5.2.0 a 10.5.2.63, sarebbero state tutte soggette alla decisione
logica della ACL (ossia il blocco (DENY)). Si tenga in considerazione un fattore, onde evitare spiacevoli errori di comprensione. Il range degli IP va da 0 a 63, così come la WildCard Mask è 0.0.0.63, in quanto, l'intervallo d'indirizzi è continuo. Ad esempio, se l'indirizzo IP fosse stato 10.18.2.4, un ipotetica WildCard Mask potrebbe essere 0.0.0.3, ma ciò
NON significa che il range soggetto al provvedimento deciso dall'ACL và da 10.18.2.4 a 10.18.2.3. Questo è un errore grossolano.

Uso generico delle WildCard:

Un esempio molto pratico, può aiutare l'utente nel comprendere immediatamente la potenza di questo tool.
Si supponga di voler effettuare un controllo dell'indirizzo IP: 170.12.5.0/24.
Quest'ultimo appartiene alla classe B (cioè, i primi 2 otteti son riservati, predefinitamente, al fine d'indicare la parte
Network) ed ha una subnet al terzo otteto (cioè, il detentore del range 170.12.0.0 può creare 255 reti, che contengono 253 host ognuna).
Si desidera, in una banale ACL, bloccare il traffico in arrivo, dai seguenti indirizzi IP: 170.12.5.4 a 170.12.5.7 e da
170.12.5.10, 170.12.5.11, 170.12.5.14 e 170.12.5.15.
L'indirizzo IP da controllare presenta le seguenti particolarità: ha una subnet /24, pertanto, è composto N.N.N.H
170.12.5.0, in binario, è tradotto in 10101010.00001100.00000101.00000000 e la subnet mask è 11111111.11111111.11111111.00000000 (un /24, come già visto, è un 255.255.255.0).
Gli indirizzi IP da bloccare sono:

170.12.5.4 - 10101010.00001100.00000101.00000100
170.12.5.5 - 10101010.00001100.00000101.00000101
170.12.5.6 - 10101010.00001100.00000101.00000110
170.12.5.7 - 10101010.00001100.00000101.00000111
170.12.5.10 - 10101010.00001100.00000101.00001010
170.12.5.11 - 10101010.00001100.00000101.00001011
170.12.5.14 - 10101010.00001100.00000101.00001110
170.12.5.15 - 10101010.00001100.00000101.00001111

Guardando la versione degli indirizzi, in binario, si può notare che, dal 170.12.5.4, fino al 170.12.5.7, c'è una parte
di indirizzo che non cambia.

170.12.5.4 - 10101010.00001100.00000101.000001]00
170.12.5.5 - 10101010.00001100.00000101.000001]01
170.12.5.6 - 10101010.00001100.00000101.000001]10
170.12.5.7 - 10101010.00001100.00000101.000001]11
                                                                     
Tramite la WildCard Mask, è possibile raggruppare gli indirizzi IP interessati, in un unica dicitura e, come per il CIDR,
ridurre il numero di ACL da impostare, per bloccare il traffico. In questo caso, è possibile impostare una sola ACL per fermare i dati in arrivo dal range che và dal 170.12.5.4 al 170.12.5.7.

Per impostare l'ACL, occorre comprendere qual'è l'indirizzo d'inizio sequenza. Quest'ultimo corrisponde alla somma del valore dell'IP, tralasciando, nel conteggio, i bits mutevoli.

Dot Notation   Parte dell'ind. non mutevole           Parte dell'ind. mutevole
----------------------------------------------------------------------------------------
170.12.5.4     10101010.00001100.00000101.000001]00   10101010.00001100.00000101.000001]00
170.12.5.5     10101010.00001100.00000101.000001]00   10101010.00001100.00000101.000001]01
170.12.5.6     10101010.00001100.00000101.000001]00   10101010.00001100.00000101.000001]10
170.12.5.7     10101010.00001100.00000101.000001]00   10101010.00001100.00000101.000001]11

In tutti e 4 gli indirizzi, il calcolo dell'IP non mutevole risultante è 170.12.5.4. Pertanto, questo sarà l'indirizzo
d'inizio sequenza.
Per impostare la WildCard Mask esatta, occorre tener in considerazione solo i bit che mutano, rispetto al range d'indirizzi da trattare. In questo caso, se l'indirizzo di partenza è 170.12.5.4 - 10101010.00001100.00000101.00000100 e sono gli ultimi 2 bit a cambiare, la WildCard Mask, in forma binaria, sarà 00000000.00000000.00000000.00000011. In forma decimale puntata 0.0.0.3.

Per gli indirizzi risultanti:

170.12.5.10 - 10101010.00001100.00000101.00001010
170.12.5.11 - 10101010.00001100.00000101.00001011
170.12.5.14 - 10101010.00001100.00000101.00001110
170.12.5.15 - 10101010.00001100.00000101.00001111

I meno esperti, potrebbero subito far notare che l'IP di partenza, in binario, è: 10101010.00001100.00000101.00001000
Questo non è propriamente esatto, in quanto, gli indirizzi da raggruppare, in questo caso, non sono continui (10, 11, 14 e 15; restano fuori il 12 e il 13). Ponendo una WildCard Mask 0.0.0.7, s'andrebbe ad includere, nel provvedimento, anche IP totalmente estranei.
In questo caso, occorrono 2 WildCard Mask. La prima, seguendo il procedimento appena citato, parte da 170.12.5.10 (10101010.00001100.00000101.0000101]0) con una WildCard Mask 0.0.0.1. Ugualmente, per gli ultimi 2 IP: partenza da 170.12.5.14 e WildCard Mask 0.0.0.1
Si tenga presente un fattore: una WildCard Mask 0.0.0.1 non blocca 1 IP. Non è una coincidenza totale dell'IP (che ha, come Mask 0.0.0.0). Molte persone, quando vedono quella Mask, si confondono ed equivocano. C'è il 32esimo bit a 1, pertanto, sono 2 gli indirizzi IP inclusi.

Ovviamente, la configurazione delle ACL (con gli indirizzi IP e le WildCard Mask), citate negli esempi, va al di fuori dell'argomento trattato da questo manuale, pertanto, la sintassi completa dei comandi, non verrà inserita.