Доступ на FTP с фильтрацией по IP-диапазонам

0

0

Рельльно ли фильтровать доступ на ФТП по айпи диапазонам? Т.е. допустим на фтп могут заходить пользователи находящиеся в этом диапазоне: 85.202.249.1 - 85.202.249.254 Можно ли реализовать такую систему доступа средствами штатного vsftpd?

-- ASP Linux 11.2

Ссылка

←	squid светится снаружи

Apache2.0 (2.2) & Forward

→

Не видел такого. Легче юзать tcpwrappers.

http://www.clug.org/presentations/security/tcpwrappers.html

~~qsloqs~~ ★★
(16.11.06 00:03:55 MSK)

Ссылка

proftpd точно умеет.
также это можно реализовать уже упомянутыми tcpwrappers, и с помощью iptables.

kes ★
(16.11.06 09:21:18 MSK)

Ссылка

проще и лучше всего поменять vsftpd на proftpd, а в нем уже все прописать (Allow from...)

dreamer ★★★★★
(16.11.06 09:27:15 MSK)

Ответ на: комментарий от dreamer 16.11.06 09:27:15 MSK

>проще и лучше всего поменять vsftpd на proftpd, а в нем уже все прописать (Allow from...)

Конечно, конечно, "проще и лучше всего поменять vsftpd на proftpd" и разобраться с директивами "Allow from...", чем прописать строчку в /etc/hosts.allow или скормить одну строчку iptables.

qwe ★★★
(16.11.06 14:25:30 MSK)

Ответ на: комментарий от dreamer 16.11.06 09:27:15 MSK

а еще xinetd умеет по IP ограничивать...

anonymous
(16.11.06 14:58:13 MSK)

Ссылка

Ответ на: комментарий от qwe 16.11.06 14:25:30 MSK

в данном случае, именно так, т.к. vsftpd имеет серьезный баг с выставлением прав при аплоаде.
к тому же в /etc/hosts.allow не прописать досутп на отдельные каталоги, а это нужная фича.

dreamer ★★★★★
(16.11.06 15:11:28 MSK)

Ответ на: комментарий от dreamer 16.11.06 15:11:28 MSK

>vsftpd имеет серьезный баг с выставлением прав при аплоаде.

Если можно подробнее.

>не прописать досутп на отдельные каталоги

Вопрос звучал так: "Реально ли фильтровать доступ на ФТП по айпи диапазонам?".

>а это нужная фича.

Возможно, но не могу себе представить для чего.

qwe ★★★
(16.11.06 15:40:36 MSK)

Ответ на: комментарий от qwe 16.11.06 15:40:36 MSK

>>не прописать досутп на отдельные каталоги

>Вопрос звучал так: "Реально ли фильтровать доступ на ФТП по айпи >диапазонам?".

>>а это нужная фича.

>Возможно, но не могу себе представить для чего.

Я именно об этом и говорю:
допустим одной подсети нужно разрешить писать в один каталог и запретить читать другие, для другой подсети другие права...обычная и реальная ситуация.

>vsftpd имеет серьезный баг с выставлением прав при аплоаде.

>Если можно подробнее.
не работают директивы
local_umask и anon_umask
права все равно остаются 022 (если не изменяет память)
баг давно известен и кажется фиксить его не собираются..
..кажется, есть патчи, коотрые это фиксят, но в официальной сборке их нет.

dreamer ★★★★★
(16.11.06 16:33:48 MSK)

Ответ на: комментарий от qwe 16.11.06 14:25:30 MSK

А как можно используя hosts.allow разрешить доступ пользователей входящих в определенные диапазоны. Если можно, с примером пожалуйста. ЗЫ: Честно говоря, я думаю что необязательно менять vsftpd на proftpd, для того чтобы решить этот вопрос.

anonymous
(17.11.06 09:28:22 MSK)

Ответ на: комментарий от anonymous 17.11.06 09:28:22 MSK

Пост выше - мой.

KORG
(17.11.06 09:32:54 MSK) автор топика

Ссылка

Ответ на: комментарий от dreamer 16.11.06 16:33:48 MSK

>Я именно об этом и говорю: допустим одной подсети нужно разрешить писать в один каталог и запретить читать другие, для другой подсети другие права...

Нет, вы говорите немного не о том. В данном случае ("Реально ли фильтровать доступ на ФТП по айпи диапазонам?") ключевые слова "фильтровать" и "ФТП", а не "разрешить/запретить" и "каталог". Человеку нужно просто разрешить доступ к своему FTP из определённой внешней сети, а не разделить доступ для разных сетей к разным каталогам.

>обычная и реальная ситуация.

IMHO ситуация надуманная. Разделение прав по IP адресам - зло.

>не работают директивы local_umask и anon_umask права все равно остаются 022 (если не изменяет память)

Память Вам изменяет. :) Специально проверил всё работает. Правда vsftpd из дистрибутива FC. Посмотрел накладываемые патчи, ничего на счёт umask нет.

PS. Я ничего не имею против proftpd, сам его раньше активно использовал.

qwe ★★★
(17.11.06 10:04:00 MSK)

Кстати, если не нужен анонимный доступ, то можно использовать pam_access.

qwe ★★★
(17.11.06 10:37:35 MSK)

Ссылка

Ответ на: комментарий от anonymous 17.11.06 09:28:22 MSK

>А как можно используя hosts.allow разрешить доступ пользователей входящих в определенные диапазоны.

В man этого нет, но вот так работает (проверял):

hosts.allow-----------------------
vsftpd: 85.202.249.1/254.254.254.0
----------------------------------

qwe ★★★
(17.11.06 10:56:51 MSK)

Ссылка

Ответ на: комментарий от qwe 17.11.06 10:04:00 MSK

>ключевые слова "фильтровать" и "ФТП", а не "разрешить/запретить" и >"каталог"

это именно и есть раздача прав.

>IMHO ситуация надуманная. Разделение прав по IP адресам - зло.

БУГАГА ))
ситуация именно реальная. А почему это зло?

>Память Вам изменяет. :) Специально проверил всё работает.

а на SLES 9 x86_64 не работает, самосборный тоже не работает ( по крайней мере год назад).

dreamer ★★★★★
(17.11.06 16:52:14 MSK)

Ответ на: комментарий от dreamer 17.11.06 16:52:14 MSK

>>ключевые слова "фильтровать" и "ФТП", а не "разрешить/запретить" и "каталог"

>это именно и есть раздача прав.

Вы на самом деле не видите разницы между раздачей прав и фильтрацией?

>А почему это зло?

Потому что IP никак не привязан к конкретному пользователю, легко им меняется, не говоря уже об общей смене IP адресов в сети.

>не работает ( по крайней мере год назад).

Повторяю, проверил 17.11.2006, работает.

qwe ★★★
(20.11.06 09:01:34 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	squid светится снаружи

Admin

Apache2.0 (2.2) & Forward

→

Похожие темы