Ограничение доступа (Proftpd) по IP...

0

0

Коллеги, нельзя ли в PROFTPD ограничить
доступ определенному аккаунту
по ИП ?

Просто у меня на фтп-серваке
я пускаю только из опр. диапазона ИП,
но вот определенному юзеру
я хотел еще и запретить некие
другие ИПшники...

Мутил с директивами <Limit LOGIN> -
не помогает - главный Лимит перебивает все
нижеследующие...

Может <VirtualHost> нужен ?
На каждый, допустим, аккаунт... ?
Хотя с ним тоже мутил и к стати заметил интересную особенность, вроде синтаксис срабатывает, но есть пишу так
<VirtualHost 127.0.0.1>
то пускает всегда и всех,
а если так
<VirtualHost 192.168.10.99> (он на фейке)
то ВАЩЕ никого не пускает ! сволочь...
И <Limit LOGIN> потом писал с ИПшниками,
и "все не так, ребята" ! ;-)

А может ограничить доступ самому Линуховому юзеру
ваще на машину ?

Запутался я вконец !
Может подскажет кто ?..

Ссылка

←

Firewall

Обновления zlib на сайте REDHAT.com

→

Гы. Смари сюдой. Стандартные Allow from не интересуется тем, кто пытается пройти. Поэтому ответ на поставленный вопрос - НЕТ. Но... Например, если авторизовать через PAM - пожалуйста. Надо только заставить модуль проверять не только логин-пароль, но и ИП. Есть ли стандартные средства - я не интересовался, но быть должны. ПО крайней мере куда копать я тебе подсказал, буду рад если поможет :) УДачи.

Nefer ★
(22.03.02 11:36:22 MSK)

Ссылка

Вдогонку.

У Про есть еще модуль mod_wrap - но в чистом виде он тебе тоже не подходит. Разве что дать каждому такому зверьку отдельный VirtualHost. Но если ты знаком с Сями - перелопатить его для твоих нужд будет вполне несложно.

Nefer ★
(22.03.02 11:42:06 MSK)

Ссылка

проверка IP в паме это что-то новенькое.

или уже новая спецификация ПАМ появилась ? :)

lb ★
(22.03.02 13:06:37 MSK)

Ну в принципе меня вполне устраивает ситуация
сделать несколько хостов...
И что, тогда все будет хорошо ? :-\

Dimedrol ★
(22.03.02 13:16:39 MSK) автор топика

Ответ на: комментарий от lb 22.03.02 13:06:37 MSK

Как тебе сказать. PAM, конечно, проверяет логин и пароль, но при этом может анализировать и другие параметры. Например текущее время. pam_time - отнюдь не плод моего воображения. Так кто мешает анализировать не время, а IP? Я там оговорился - я не в курсе есть ли готовый модуль для такого, но что мешает ему существовать? Заговорил я именно о PAM потому как такую вещь при наличии некоего skill'а в сях сделать проще и логичней, чем патчить непосредственно ProFTPd. Хмм. ВОт написал и кой чего еще придумал :) Ну да ладно, это программерские штучки :)

Nefer ★
(22.03.02 16:41:29 MSK)

Ссылка

Ответ на: комментарий от Dimedrol 22.03.02 13:16:39 MSK

Тогда смотри доку на mod_wrap! Он позволяет ограничить доступ по ИП на виртуальный хост. Далее в хосте же ограничиваешь доступ юзерам. В итоге получаем искомое - конкретный зверек может залезть только с конкретного ИП. Дерево каталогов можно общее оставить, можно разделить. Правда решение не очень красивое, зато на существующем совте, своего писать ненадо. :)

Nefer ★
(22.03.02 16:45:32 MSK)

Ссылка

Nefer, такого быть не может ровно потому, что PAM неоткуда взять ip.

ivlad ★★★★★
(22.03.02 18:23:28 MSK)

Ссылка

Ну почему же. Получить список коннектов можно? Можно. Получить какому процессу какой коненкт принадлежит можно? Можно. От кого пришел запрос выяснить можно? Можно. Ну и почему неоткуда? :) Хотя это совсем через зад. :) Передать PAMу параметр еще один - это разве проблема? Начиная от ENVIROMENT, заканчивая PAM CONVERSATION. Другой вопрос что ПроФТПд по умолчанию это не передает. :)

Nefer ★
(22.03.02 18:41:51 MSK)