URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79796
[ Назад ]

Исходное сообщение
"Разграничение доступа к ftp (pfoftpd)"
Отправлено alt_7 , 14-Апр-08 11:01

Доброе время суток!
Имеется сервер FreeBSD 6.3, proftpd, внутренняя (одна сетевая карта) и внешняя сеть (другая сетевая карта). Подскажите, кто знает, как сделать, так что бы один и тот же пользователь, например, user мог записывать на ftp сервер в том случае если он подключился из внутренней сети, если пользователь (user) подключается из внешней сети, то у него есть право только на чтение.

Содержание

Разграничение доступа к ftp (pfoftpd),KobaLTD, 11:57 , 14-Апр-08
- Разграничение доступа к ftp (pfoftpd),Hetzer, 12:23 , 14-Апр-08
  - Разграничение доступа к ftp (pfoftpd),alt_7, 12:36 , 14-Апр-08
- Разграничение доступа к ftp (pfoftpd),alt_7, 12:38 , 14-Апр-08
  - Разграничение доступа к ftp (pfoftpd),gibbon, 12:48 , 14-Апр-08
    - Разграничение доступа к ftp (pfoftpd),KobaLTD, 13:27 , 14-Апр-08
      - Разграничение доступа к ftp (pfoftpd),plamya, 18:31 , 21-Апр-08
        
        Разграничение доступа к ftp (pfoftpd),KobaLTD, 09:09 , 22-Апр-08
        
        Разграничение доступа к ftp (pfoftpd),plamya, 10:05 , 22-Апр-08

Сообщения в этом обсуждении

"Разграничение доступа к ftp (pfoftpd)"
Отправлено KobaLTD , 14-Апр-08 11:57

>Доброе время суток!
>Имеется сервер FreeBSD 6.3, proftpd, внутренняя (одна сетевая карта) и внешняя сеть
>(другая сетевая карта). Подскажите, кто знает, как сделать, так что бы
>один и тот же пользователь, например, user мог записывать на ftp
>сервер в том случае если он подключился из внутренней сети, если
>пользователь (user) подключается из внешней сети, то у него есть право
>только на чтение.
2 запущеных proftpd с разлиными списками доступов, каждый из которых смотрит только в свой интерфейс.

"Разграничение доступа к ftp (pfoftpd)"
Отправлено Hetzer , 14-Апр-08 12:23

>>Доброе время суток!
>>Имеется сервер FreeBSD 6.3, proftpd, внутренняя (одна сетевая карта) и внешняя сеть
>>(другая сетевая карта). Подскажите, кто знает, как сделать, так что бы
>>один и тот же пользователь, например, user мог записывать на ftp
>>сервер в том случае если он подключился из внутренней сети, если
>>пользователь (user) подключается из внешней сети, то у него есть право
>>только на чтение.
>
>2 запущеных proftpd с разлиными списками доступов, каждый из которых смотрит только
>в свой интерфейс.
ну зачем же плодить сервисы, мне кажется достаточно поиграть с <Limit LOGIN, READ, WRITE>

"Разграничение доступа к ftp (pfoftpd)"
Отправлено alt_7 , 14-Апр-08 12:36

>ну зачем же плодить сервисы, мне кажется достаточно поиграть с <Limit LOGIN, READ, WRITE>
А разве там можно указывать откуда подключение из внешней сети или из внутренней?

"Разграничение доступа к ftp (pfoftpd)"
Отправлено alt_7 , 14-Апр-08 12:38

>2 запущеных proftpd с разлиными списками доступов, каждый из которых смотрит только
>в свой интерфейс.
Если не сложно подскажите как подскажите как сие чудо сделать?

"Разграничение доступа к ftp (pfoftpd)"
Отправлено gibbon , 14-Апр-08 12:48

>>2 запущеных proftpd с разлиными списками доступов, каждый из которых смотрит только
>>в свой интерфейс.
>
>Если не сложно подскажите как подскажите как сие чудо сделать?
Думаю надо сделать два виртуальных сервера с разными настройками.
<VirtualHost xxx.xxx.xxx.xxx>
  <Limit ALL>
    AllowAll
  </Limit>
</VirtualHost>

<VirtualHost yyy.yyy.yyy.yyy>
  <Limit WRITE>
    DenyAll
  </Limit>
</VirtualHost>
где xxx.xxx.xxx.xxx внутренний ИП,а yyy.yyy.yyy.yyy внешний ИП
ну а за подробностями в документацию.

"Разграничение доступа к ftp (pfoftpd)"
Отправлено KobaLTD , 14-Апр-08 13:27

>[оверквотинг удален]
>
><VirtualHost yyy.yyy.yyy.yyy>
>  <Limit WRITE>
>    DenyAll
>  </Limit>
></VirtualHost>
>
>где xxx.xxx.xxx.xxx внутренний ИП,а yyy.yyy.yyy.yyy внешний ИП
>
>ну а за подробностями в документацию.
так тоже можно но это не очень гибко - 2 сервера будет гибче, в каждом привезать авторизацию по mysql, набросать небольшую веб морду по забиванию юзверей, и туда и туда с разными/одинаковыми настройками - имхо будет гибче - чем править каждый раз конфиг для удаления добавления прав юзверям.

"Разграничение доступа к ftp (pfoftpd)"
Отправлено plamya , 21-Апр-08 18:31

2 сервиса не стоит.. Надо разграничивать права с указанием хостов клиентов. т.е. внутрення сеть 192,168,*,* или там 10,16, и т.п. внешняя всё остальное. Непомню в каких это опциях прописывается, но я видел 2 статьи, в которых это было укахано. Причем одна их них вроде была тут на opennet'е

"Разграничение доступа к ftp (pfoftpd)"
Отправлено KobaLTD , 22-Апр-08 09:09

>2 сервиса не стоит.. Надо разграничивать права с указанием хостов клиентов. т.е.
>внутрення сеть 192,168,*,* или там 10,16, и т.п. внешняя всё остальное.
>Непомню в каких это опциях прописывается, но я видел 2 статьи,
>в которых это было укахано. Причем одна их них вроде была
>тут на opennet'е
:) если найдете поделитесь - наскока я знаю таких настрое нет (если не щитать правку конфига когда надо что то либо поменять)
и вопрос а по чему не стоит - вчем проблемы, трудности, недостатки предложенного мной способа?

"Разграничение доступа к ftp (pfoftpd)"
Отправлено plamya , 22-Апр-08 10:05

>и вопрос а по чему не стоит - вчем проблемы, трудности, недостатки
>предложенного мной способа?
Просто может быть конфликт доступа из-за того, что работают 2 отдельных демона, уж лучше использовать два виртуальных хоста. Если не победить права доступа с указаных хостов-клиентов (точнее скопов IP'шников), то я бы сделал именно 2 виртуальных сервера