vsftpd userek belépése csak adott címekről

Linux-kezdő

Udv!

Eddig egy másik ftp szervert használtam, de elég jókat olvastam a vsftpd-ről, gondoltam kipróbálom. Egy dolog viszont nekem valahogy nem kerek. Képtelen vagyok megcsinálni azt, hogy adott felhasználó csak adott IP tartományból csatlakozhasson.

Értsd, forgalomkorlátozás van a helyi hálóról kifelé menő forgalomra a kollégiumban. Szeretném, ha feltölteni bárki tudna bárhonnan, a letöltésre jogosult "full access" user pedig csak a helyi tartományból tudna belépni. (Meg persze én bármit tehssek bárhonnan a saját useremmel :D )

  • 1208 megtekintés

( gd | 2009. 06. 12., p – 19:21 )

Lehet, hogy hülye vagyok, de én a vsftpd.conf-ban egyáltalán nem láttam olyat, hogy korlátozni lehet, hogy honnan lehet csatlakozni (tűzfallal persze lehet, de nyilván nem felhasználó szinten).

Amúgy hogy akarnád? Mindenkinek adnál egy belső (full access) és egy külső usernevet? Mondjuk kívülről nincs sok értelme jelszavas felhasználókat csinálni, mert úgyse biztonságos.

Amúgy miért nem SFTP-t használsz a belső hálóról? Nálam otthon így van: kívülről FTP-n jelszó nálkül bármit lehet feltölteni, leszedni meg SFTP-n és otthon NFS-en lehet.

Igazabol harom user van, egy aki a kolibol eler mindent, ez ilyen szokasjogi kerdes pub/pub, mondjuk. Csak letoltes.

Mindenhonnan er feltolteni, azt nem korlatozzak, monnyuk upload/upload.

Meg nekem egy akarmilyen...

Es igen, nyilvanvaloan nincs a conf-ban ilyen, de mindenfele tcp_wrappers-es megoldassal lehet korlatozni a hozzaferest, meg pam-os megoldasokkal. Szoval nem vagyok benne biztos, hogy nincs ra valami trukk.

---
fincsi

( fincsi | 2009. 06. 14., v – 21:28 )

Ennyi embernek van véleménye?
---
fincsi

NFS nem jó? Muszály FTP? Én vsftp -t használok már egy ideje, de egyáltalán nem találkoztam még ezzel a megoldással (vsftpd.conf ban), igaz nem is volt rá szükségem, nem is ástam mélyre a témában.

De tényleg elgondolkoznék, hogy NFS exportálva a koleszban amit mindenki elérhet (vagy samba, ha windows osok vannak), FTP user mondjuk kifele JAIL el, aki csak feltölthet, meg a tied egy FTP/smb user, mert internyeten nem előkelő dolog smb/cifs el dobálózni ;).

( sjrextor | 2009. 06. 14., v – 22:16 )

Nekem ugy remlik a proftpd tudja ezt a varazslatot.

( pwm | 2009. 06. 14., v – 23:03 )

Esetleg valami ilyesmi?

vsftpd.conf-ba: 


user_config_dir=/path/to/vsftp_users

majd csinalsz ebben a konyvtarban egy csak_feltolto_user_neve file-t, es pl: 


local_root=/path/to/ftproot/upload
cmds_denied=RETR,RMD,DELE

Szerk:

kozben elolvastam amit irtal :D, szoval, hogy kulonbozo IP-krol kulonbozo dolgok legyenek engedve azt igy (afaik) nem lehet, akkor mindenkepp tuzfal.

Szerk 2:

hmm, megis ugy nez ki lehet tcp wrappers segitsegevel valahogy igy (ezt sosem probaltam): 


/path/to/vsftpd.conf:
tcp_wrappers=YES 

/etc/hosts.deny:
vsftpd: ALL 

/etc/hosts.allow:
vsftpd: belsohalo ip : setenv VSFTPD_LOAD_CONF /path/to/vsftpd_belsohalo.conf
vsftpd: ALL : setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_csakfeltolt.conf

Es akkor a csakfeltolt.conf-ba ket user tartozik te meg egy csakfeltoltos, a belsohalo.conf-ba pedig harom: te, egy masik aki tovabbra is csak feltolteni tud(lehet ugyanaz a usernev, mint a csakfeltolt.conf-beli), es egy harmadik aki pedig mindent.

( p000t | 2009. 06. 15., h – 08:47 )

Én meg wzdftpd-t használok mysql back-el. 5 perc volt belőni, marha egyszerű, és sávszél korláttal együt még azt is tudja, ami neked kell! :)

p00t