Страница 1 из 1
Разграничение доступа FTP
Добавлено: 19 фев 2006, 17:05
mil
Проблема в следующем: есть две ЛВС, в каждой имеется по шлюзу с
помощью которых обе они объединены в РВС-(распред. выч. сеть), сети
не имеют выхода в открытые сети, всё это крутится на REdHat 8.0
(соединены ЛВС по РРР).
Теперь собственно вопрос.
Как сделать так, чтобы пользователи одной из ЛВС могли свободно
использовать FTP как внутри своей сети так и в удаленной, но при этом
необходимо, чтобы ползователи удаленной ЛВС могли "вариться" в своём FTP, но не имели доступа в первую сеть.
Добавлено: 19 фев 2006, 17:08
Llama
mil,
1) поставить между двумя сетями маршрутизатор
2) Запретить на маршрутизаторе все
3) Разрешить на маршрутизаторе FTP в одну сторону
Курить iptables-tutorial в сторону -m state --state NEW
Добавлено: 19 фев 2006, 17:19
mil
Маршрутизатор не возможен физически.
Об iptables, если не трудно чуть подробнее. Спасибо
Добавлено: 19 фев 2006, 17:33
Llama
mil, что значит - не возможен физически? А каким образом тогда соединены две сети? Через мост или свич чтоли?
Перевод iptables-tutorial находится в яндексе.
Добавлено: 19 фев 2006, 17:42
mil
Сети соединены через специальную шифрующую аппаратуру
---------- -----------
|Спец. |-->|Аппар.|
|модем |-->|шифр.|----> <---- С той стороны тоже самое
---------- ------------
Подскажите как это реализовать не через брандмауэр,
а с помощью FTP-настроек, типа параметров в vsftpd или
ftpacsses (на уровне deny для конкретных адресов)
Добавлено: 19 фев 2006, 20:04
Llama
mil,
вставить с одной из сторон прозрачный мост в разрыв после оборудования шифрования и модема и на нем фильтровать в однй сторону ftp...
С помощью настроек на хосте - man hosts.allow и hosts.deny - AFAIK xinetd/vsftpd их учитывают
Добавлено: 24 фев 2006, 08:31
mil
hosts.allow/deny разрешат/запретят, как я понимаю, весь трафик с хостом, а там по TCP/IP крутится много чего. В одностороннем порядке "прикрыть" нужно только FTP. Идеально подошел бы такой вариант, как например настаивается lpdperms когда на каждой машине можно задать диапазон адресов, только не могу найти ничего похожего для FTP, хотя думаю, что-то похожее должно быть. Подскажите где?
Варианты с разрывом не катят т.к. физический доступ есть только на участке COM-порт ПК --> COM-порт модема.
Добавлено: 24 фев 2006, 12:25
Llama
mil, вы понимаете неправильно. еще раз прочитайте man hosts.deny - на этот раз внимательно... ж)
Кроме того, есть ftp запускается не демоном, а через некую разновидность inetd - то покрутить можно и там в конфигах...