Разграничение доступа FTP
Разграничение доступа FTP
Проблема в следующем: есть две ЛВС, в каждой имеется по шлюзу с
помощью которых обе они объединены в РВС-(распред. выч. сеть), сети
не имеют выхода в открытые сети, всё это крутится на REdHat 8.0
(соединены ЛВС по РРР).
Теперь собственно вопрос.
Как сделать так, чтобы пользователи одной из ЛВС могли свободно
использовать FTP как внутри своей сети так и в удаленной, но при этом
необходимо, чтобы ползователи удаленной ЛВС могли "вариться" в своём FTP, но не имели доступа в первую сеть.
помощью которых обе они объединены в РВС-(распред. выч. сеть), сети
не имеют выхода в открытые сети, всё это крутится на REdHat 8.0
(соединены ЛВС по РРР).
Теперь собственно вопрос.
Как сделать так, чтобы пользователи одной из ЛВС могли свободно
использовать FTP как внутри своей сети так и в удаленной, но при этом
необходимо, чтобы ползователи удаленной ЛВС могли "вариться" в своём FTP, но не имели доступа в первую сеть.
Сети соединены через специальную шифрующую аппаратуру
---------- -----------
|Спец. |-->|Аппар.|
|модем |-->|шифр.|----> <---- С той стороны тоже самое
---------- ------------
Подскажите как это реализовать не через брандмауэр,
а с помощью FTP-настроек, типа параметров в vsftpd или
ftpacsses (на уровне deny для конкретных адресов)
---------- -----------
|Спец. |-->|Аппар.|
|модем |-->|шифр.|----> <---- С той стороны тоже самое
---------- ------------
Подскажите как это реализовать не через брандмауэр,
а с помощью FTP-настроек, типа параметров в vsftpd или
ftpacsses (на уровне deny для конкретных адресов)
mil,
вставить с одной из сторон прозрачный мост в разрыв после оборудования шифрования и модема и на нем фильтровать в однй сторону ftp...
С помощью настроек на хосте - man hosts.allow и hosts.deny - AFAIK xinetd/vsftpd их учитывают
вставить с одной из сторон прозрачный мост в разрыв после оборудования шифрования и модема и на нем фильтровать в однй сторону ftp...
С помощью настроек на хосте - man hosts.allow и hosts.deny - AFAIK xinetd/vsftpd их учитывают
Опыт растет прямо пропорционально выведенному из строя оборудованию
hosts.allow/deny разрешат/запретят, как я понимаю, весь трафик с хостом, а там по TCP/IP крутится много чего. В одностороннем порядке "прикрыть" нужно только FTP. Идеально подошел бы такой вариант, как например настаивается lpdperms когда на каждой машине можно задать диапазон адресов, только не могу найти ничего похожего для FTP, хотя думаю, что-то похожее должно быть. Подскажите где?
Варианты с разрывом не катят т.к. физический доступ есть только на участке COM-порт ПК --> COM-порт модема.
Варианты с разрывом не катят т.к. физический доступ есть только на участке COM-порт ПК --> COM-порт модема.