[Linuxtrent] proftpd.conf
- From: Mario Vittorio Guenzi <jclark@xxxxxxxxxx>
- To: linuxtrent <linuxtrent@xxxxxxxxxxxxx>
- Date: Wed, 29 Aug 2012 10:54:48 +0200
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Buongiorno a tutti,
ho la necessita' di escludere tre indirizzi dal poter scrivere in una
directory di un server ftp.
Cerco di spiegarmi meglio, abbiamo un server ftp interno in LAN non in
DMZ che si raggiunge dall'esterno tramite un DNAT di questo tipo
$IPT -A FORWARD -i $EXTIF -p tcp --dport 21 -j ACCEPT
$IPT -t nat -A PREROUTING -s 0/0 -i $EXTIF -p tcp -d $EXTIP --dport
21 -j DNAT --to-destination 192.168.2.251:21
dove ovviamente $EXTIF e' la scedadi rete con IP pubblico.
L'utente che si collega per operare e' unico sia da dentro che da
fuori, e qui comincia la questione io non voglio che da fuori sia
possibile scrivere/cancellare dalla dir download, mentre invece voglio
che sia possibile farlo dall'interno.
Se ad esempio la scheda interna del firewall fosse 192.168.2.241
una scrittura del tipo a) avrebbe senso
<Directory /home/archivio/download>
<Limit STOR>
DenyAll
Allow 192.168.2.0/24 ! 192.168.2.241/24
</Limit>
o avrebbe piu' senso una scrittura del tipo
<Directory /home/archivio/download>
<Limit STOR>
Order deny,allow
Deny from 192.128.2.241
Allow 192.168.2.0/24
</Limit>
ho googlato un po ma ho trovato solo l'esempio esattamente inverso e
cioe' (che tra parentesi come sicurezza avrebbe anche piu' senso)
accetta in scrittura solo dal dato indirizzo della lan.
Grazie a chi puo' illuminarmi.
Cordialita'
- --
Mario Vittorio Guenzi
E-mail jclark@xxxxxxxxxx
Si vis pacem, para bellum
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAlA92NcACgkQm6qs1ZkNrIrMhgCfbvH5/tEBsa0PR5J9ufJjKqJw
TQQAn2pK53Qoqb0080poT3zk39pYDnWF
=LV0g
-----END PGP SIGNATURE-----
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: