hallo,
ich nutze proftpd und frage mich nun wie ich es am besten anstelle das nur ein bestimmter netzbereich (z.B. 217.168.x.x) zugang zu diesem erhält
gibt es hier eine einstellung beim proftpd oder muss man das über eine firewall regeln?
ftp zugang nur bestimmte subnetze
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: ftp zugang nur bestimmte subnetze
Keine Ahnung, wie's beim ProFTP aussieht, aber den kleinen IPTables-Befehl dafür halte ich persönlich für schneller ...gibt es hier eine einstellung beim proftpd oder muss man das über eine firewall regeln?
Code: Select all
iptables -A INPUT -s ! 217.168.0.0/16 --dport 20,21 -j REJECTDebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: ftp zugang nur bestimmte subnetze
Liese sich das nicht auch mittles
/etc/hosts.deny
FTP: ALL
/etc/hosts.allow
FTP: 217.168.0.0/16
erreichen?
/etc/hosts.deny
FTP: ALL
/etc/hosts.allow
FTP: 217.168.0.0/16
erreichen?
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: ftp zugang nur bestimmte subnetze
Oder so ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: ftp zugang nur bestimmte subnetze
das gilt dann aber nur für den FTP dienst, oder? andere dienste sollten nicht betroffen sein und von überall erreichbar sein
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: ftp zugang nur bestimmte subnetze
Exakt !
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: ftp zugang nur bestimmte subnetze
Niemals Packet-Filtering für "Zugriffskontrollen" missbrauchen, das ist mit Kanonen auf Spatzen geschossen und geht auf Kosten der Performance. Dafür gibt es andere Werkzeuge. Ein Packet-Filtering ist keine Allround-Lösung udn sollte nur zum Filtern von Packeten zwischen Netzen eingesetzt werden. J
Ja, ich weiss, ist hier wie mit den Windmühlen. Irgendwie hat es die Industrie geschafft Firewalls jedem als Allround Lösung zu verkaufen..
IPs lassen sich bekannter Weise problemlos fälschen. Man sollte immer besser auf User ebene arbeiten.
Was macht mal also:
- PAM Authentifizierung einsetzen, damit ein Logon für einen User auch bei vielen Diensten.
Wenn es doch IP sein muss, und User nicht geht?
- Einen Wrapper für den Daemon verwenden.
Letzteres macht nur dann sind ,wenn es sich z.B. um ganze Subnetze mit sehr viele Usern handelt, die ohne einen Account (z.B. anonymous FTP) etwas benutzen sollen.
Sinniger ist natürlich auch in solchen Fällen den Benutzern ein Login/PW für den Dienst zu geben (heisst noch lange nicht, dass sie einen Shell Account haben!) Am besten via PAM oder anderen Techniken, die auf dem gesamten System einsetzbar sind.
Und das schöne ist, hat man einen solchen Mechanismus einmal, dann kann man ihn immer weiter verwenden und man kann somit auch roaming User supporten. Die wenigstens haben feste IPs.
Alternativ kann man natürlich einen Wrapper als zusätzliche Methode einsetzen, wenn es sich um einen besonders kritischen Dienst handelt. Ich mach das beim SSH so, da ich zu Hause eine statische IP habe und bei SSH ganz sicher gehen will - zu viele Vulnerabilitiies in OpenSSH und OpenSSL über die Jahre für meinen Geschmack.
Ja, ich weiss, ist hier wie mit den Windmühlen. Irgendwie hat es die Industrie geschafft Firewalls jedem als Allround Lösung zu verkaufen..
IPs lassen sich bekannter Weise problemlos fälschen. Man sollte immer besser auf User ebene arbeiten.
Was macht mal also:
- PAM Authentifizierung einsetzen, damit ein Logon für einen User auch bei vielen Diensten.
Wenn es doch IP sein muss, und User nicht geht?
- Einen Wrapper für den Daemon verwenden.
Letzteres macht nur dann sind ,wenn es sich z.B. um ganze Subnetze mit sehr viele Usern handelt, die ohne einen Account (z.B. anonymous FTP) etwas benutzen sollen.
Sinniger ist natürlich auch in solchen Fällen den Benutzern ein Login/PW für den Dienst zu geben (heisst noch lange nicht, dass sie einen Shell Account haben!) Am besten via PAM oder anderen Techniken, die auf dem gesamten System einsetzbar sind.
Und das schöne ist, hat man einen solchen Mechanismus einmal, dann kann man ihn immer weiter verwenden und man kann somit auch roaming User supporten. Die wenigstens haben feste IPs.
Alternativ kann man natürlich einen Wrapper als zusätzliche Methode einsetzen, wenn es sich um einen besonders kritischen Dienst handelt. Ich mach das beim SSH so, da ich zu Hause eine statische IP habe und bei SSH ganz sicher gehen will - zu viele Vulnerabilitiies in OpenSSH und OpenSSL über die Jahre für meinen Geschmack.