[Linuxtrent] Re: proftpd.conf

• From: Steevie <steevie@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Wed, 29 Aug 2012 17:38:32 +0200

2012/8/29 Mario Vittorio Guenzi <jclark@xxxxxxxxxx>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Buongiorno a tutti,
> ho la necessita' di escludere tre indirizzi dal poter scrivere in una
> directory di un server ftp.
> Cerco di spiegarmi meglio, abbiamo un server ftp interno in LAN non in
> DMZ che si raggiunge dall'esterno tramite un DNAT di questo tipo
>  $IPT -A FORWARD -i $EXTIF -p tcp --dport 21 -j ACCEPT
> $IPT -t nat -A PREROUTING -s 0/0  -i $EXTIF -p tcp -d $EXTIP --dport
> 21 -j DNAT --to-destination 192.168.2.251:21
>
> dove ovviamente $EXTIF e' la scedadi rete con IP pubblico.
> L'utente che si collega per operare e' unico sia da dentro che da
> fuori, e qui comincia la questione io non voglio che da fuori sia
> possibile scrivere/cancellare dalla dir download, mentre invece voglio
> che sia possibile farlo dall'interno.
> Se ad esempio la scheda interna del firewall fosse 192.168.2.241
> una scrittura del tipo a) avrebbe senso
> <Directory /home/archivio/download>
>    <Limit STOR>
>    DenyAll
>    Allow 192.168.2.0/24 ! 192.168.2.241/24
>    </Limit>
Uhm... occhio che 192.168.2.241/24 == 192.168.2.0/24 (ipcalc) forse
volevi dire /32 per escludere solo il .241.

Come detto anche dal Diaolin, basta
<Directory /home/archivio/download>
   <Limit STOR>
   Order deny,allow
   Allow 192.168.2.0/24
   Deny from all
   </Limit>
</Directory>.
Se usi un port forwarding per l'accesso al server, il pacchetto che
arriverà sul server via PF avrà ancora come IP d'origine quello
"esterno", quindi verrà bloccato (policy di default deny all) perché
non esplicitamente in Allow (solo gli IP nel range 192.168.2.0/24
possono accedere).

2012/8/29 Michele Bert <micbert75@xxxxxxxxx>:
> 192.168.2.0/24 significa 192.168.2.[da 0 a 24].
> Dal 25 in poi sono tutti inibiti.
Questa mi pare proprio sbagliata. :) Il /24 è la netmask, non l'elenco
degli IP.

esmeralda:~# ipcalc 192.168.2.0/24
Address:   192.168.2.0          11000000.10101000.00000010. 00000000
Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
=>
Network:   192.168.2.0/24       11000000.10101000.00000010. 00000000
HostMin:   192.168.2.1          11000000.10101000.00000010. 00000001
HostMax:   192.168.2.254        11000000.10101000.00000010. 11111110
Broadcast: 192.168.2.255        11000000.10101000.00000010. 11111111
Hosts/Net: 254                   Class C, Private Internet

Ciao,
Stefano
-- 
Stefano David, PhD
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• References:
  • [Linuxtrent] proftpd.conf
    • From: Mario Vittorio Guenzi

Other related posts:

• » [Linuxtrent] proftpd.conf- Mario Vittorio Guenzi
• » [Linuxtrent] Re: proftpd.conf- Giuliano Natali (Diaolin)
• » [Linuxtrent] Re: proftpd.conf- Mario Vittorio Guenzi
• » [Linuxtrent] Re: proftpd.conf- Michele Bert
• » [Linuxtrent] Re: proftpd.conf- Mario Vittorio Guenzi
• » [Linuxtrent] Re: proftpd.conf - Steevie
• » [Linuxtrent] Re: proftpd.conf- Giuliano Natali (Diaolin)
• » [Linuxtrent] Re: proftpd.conf- Mario Vittorio Guenzi

1. Home
2. linuxtrent
3. Archive
4. 08-2012

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---