Разграничение доступа FTP

[mil]

Проблема в следующем: есть две ЛВС, в каждой имеется по шлюзу с
помощью которых обе они объединены в РВС-(распред. выч. сеть), сети
не имеют выхода в открытые сети, всё это крутится на REdHat 8.0
(соединены ЛВС по РРР).
Теперь собственно вопрос.
Как сделать так, чтобы пользователи одной из ЛВС могли свободно
использовать FTP как внутри своей сети так и в удаленной, но при этом
необходимо, чтобы ползователи удаленной ЛВС могли "вариться" в своём FTP, но не имели доступа в первую сеть.

[Llama]

mil,
1) поставить между двумя сетями маршрутизатор
2) Запретить на маршрутизаторе все
3) Разрешить на маршрутизаторе FTP в одну сторону

Курить iptables-tutorial в сторону -m state --state NEW

[mil]

Маршрутизатор не возможен физически.
Об iptables, если не трудно чуть подробнее. Спасибо

[Llama]

mil, что значит - не возможен физически? А каким образом тогда соединены две сети? Через мост или свич чтоли?

Перевод iptables-tutorial находится в яндексе.

[mil]

Сети соединены через специальную шифрующую аппаратуру
---------- -----------
|Спец. |-->|Аппар.|
|модем |-->|шифр.|----> <---- С той стороны тоже самое
---------- ------------
Подскажите как это реализовать не через брандмауэр,
а с помощью FTP-настроек, типа параметров в vsftpd или
ftpacsses (на уровне deny для конкретных адресов)

[Llama]

mil,
вставить с одной из сторон прозрачный мост в разрыв после оборудования шифрования и модема и на нем фильтровать в однй сторону ftp...
С помощью настроек на хосте - man hosts.allow и hosts.deny - AFAIK xinetd/vsftpd их учитывают

[mil]

hosts.allow/deny разрешат/запретят, как я понимаю, весь трафик с хостом, а там по TCP/IP крутится много чего. В одностороннем порядке "прикрыть" нужно только FTP. Идеально подошел бы такой вариант, как например настаивается lpdperms когда на каждой машине можно задать диапазон адресов, только не могу найти ничего похожего для FTP, хотя думаю, что-то похожее должно быть. Подскажите где?
Варианты с разрывом не катят т.к. физический доступ есть только на участке COM-порт ПК --> COM-порт модема.

[Llama]

mil, вы понимаете неправильно. еще раз прочитайте man hosts.deny - на этот раз внимательно... ж)
Кроме того, есть ftp запускается не демоном, а через некую разновидность inetd - то покрутить можно и там в конфигах...