2012/8/29 Mario Vittorio Guenzi <jclark@xxxxxxxxxx>: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Buongiorno a tutti, > ho la necessita' di escludere tre indirizzi dal poter scrivere in una > directory di un server ftp. > Cerco di spiegarmi meglio, abbiamo un server ftp interno in LAN non in > DMZ che si raggiunge dall'esterno tramite un DNAT di questo tipo > $IPT -A FORWARD -i $EXTIF -p tcp --dport 21 -j ACCEPT > $IPT -t nat -A PREROUTING -s 0/0 -i $EXTIF -p tcp -d $EXTIP --dport > 21 -j DNAT --to-destination 192.168.2.251:21 > > dove ovviamente $EXTIF e' la scedadi rete con IP pubblico. > L'utente che si collega per operare e' unico sia da dentro che da > fuori, e qui comincia la questione io non voglio che da fuori sia > possibile scrivere/cancellare dalla dir download, mentre invece voglio > che sia possibile farlo dall'interno. > Se ad esempio la scheda interna del firewall fosse 192.168.2.241 > una scrittura del tipo a) avrebbe senso > <Directory /home/archivio/download> > <Limit STOR> > DenyAll > Allow 192.168.2.0/24 ! 192.168.2.241/24 > </Limit> Uhm... occhio che 192.168.2.241/24 == 192.168.2.0/24 (ipcalc) forse volevi dire /32 per escludere solo il .241. Come detto anche dal Diaolin, basta <Directory /home/archivio/download> <Limit STOR> Order deny,allow Allow 192.168.2.0/24 Deny from all </Limit> </Directory>. Se usi un port forwarding per l'accesso al server, il pacchetto che arriverà sul server via PF avrà ancora come IP d'origine quello "esterno", quindi verrà bloccato (policy di default deny all) perché non esplicitamente in Allow (solo gli IP nel range 192.168.2.0/24 possono accedere). 2012/8/29 Michele Bert <micbert75@xxxxxxxxx>: > 192.168.2.0/24 significa 192.168.2.[da 0 a 24]. > Dal 25 in poi sono tutti inibiti. Questa mi pare proprio sbagliata. :) Il /24 è la netmask, non l'elenco degli IP. esmeralda:~# ipcalc 192.168.2.0/24 Address: 192.168.2.0 11000000.10101000.00000010. 00000000 Netmask: 255.255.255.0 = 24 11111111.11111111.11111111. 00000000 Wildcard: 0.0.0.255 00000000.00000000.00000000. 11111111 => Network: 192.168.2.0/24 11000000.10101000.00000010. 00000000 HostMin: 192.168.2.1 11000000.10101000.00000010. 00000001 HostMax: 192.168.2.254 11000000.10101000.00000010. 11111110 Broadcast: 192.168.2.255 11000000.10101000.00000010. 11111111 Hosts/Net: 254 Class C, Private Internet Ciao, Stefano -- Stefano David, PhD -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx