RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

ftp zugang nur bestimmte subnetze

https://www.rootforum.org/forum/viewtopic.php?t=8450

Page 1 of 1

ftp zugang nur bestimmte subnetze

Posted: 2003-03-07 21:51
by frosty
hallo,

ich nutze proftpd und frage mich nun wie ich es am besten anstelle das nur ein bestimmter netzbereich (z.B. 217.168.x.x) zugang zu diesem erhält

gibt es hier eine einstellung beim proftpd oder muss man das über eine firewall regeln?

Re: ftp zugang nur bestimmte subnetze

Posted: 2003-03-07 22:08
by captaincrunch
gibt es hier eine einstellung beim proftpd oder muss man das über eine firewall regeln?
Keine Ahnung, wie's beim ProFTP aussieht, aber den kleinen IPTables-Befehl dafür halte ich persönlich für schneller ... :wink:

Code: Select all

iptables -A INPUT -s ! 217.168.0.0/16 --dport 20,21 -j REJECT

Re: ftp zugang nur bestimmte subnetze

Posted: 2003-03-07 22:09
by floschi
Liese sich das nicht auch mittles

/etc/hosts.deny

FTP: ALL

/etc/hosts.allow

FTP: 217.168.0.0/16

erreichen?

Re: ftp zugang nur bestimmte subnetze

Posted: 2003-03-07 22:10
by captaincrunch
Oder so ... :wink:

Re: ftp zugang nur bestimmte subnetze

Posted: 2003-03-07 22:39
by blindfisch
--

Re: ftp zugang nur bestimmte subnetze

Posted: 2003-03-08 13:27
by frosty
das gilt dann aber nur für den FTP dienst, oder? andere dienste sollten nicht betroffen sein und von überall erreichbar sein

Re: ftp zugang nur bestimmte subnetze

Posted: 2003-03-08 13:42
by captaincrunch
Exakt !

Re: ftp zugang nur bestimmte subnetze

Posted: 2003-03-08 14:17
by scythe42
Niemals Packet-Filtering für "Zugriffskontrollen" missbrauchen, das ist mit Kanonen auf Spatzen geschossen und geht auf Kosten der Performance. Dafür gibt es andere Werkzeuge. Ein Packet-Filtering ist keine Allround-Lösung udn sollte nur zum Filtern von Packeten zwischen Netzen eingesetzt werden. J

Ja, ich weiss, ist hier wie mit den Windmühlen. Irgendwie hat es die Industrie geschafft Firewalls jedem als Allround Lösung zu verkaufen..

IPs lassen sich bekannter Weise problemlos fälschen. Man sollte immer besser auf User ebene arbeiten.

Was macht mal also:
- PAM Authentifizierung einsetzen, damit ein Logon für einen User auch bei vielen Diensten.

Wenn es doch IP sein muss, und User nicht geht?
- Einen Wrapper für den Daemon verwenden.

Letzteres macht nur dann sind ,wenn es sich z.B. um ganze Subnetze mit sehr viele Usern handelt, die ohne einen Account (z.B. anonymous FTP) etwas benutzen sollen.

Sinniger ist natürlich auch in solchen Fällen den Benutzern ein Login/PW für den Dienst zu geben (heisst noch lange nicht, dass sie einen Shell Account haben!) Am besten via PAM oder anderen Techniken, die auf dem gesamten System einsetzbar sind.

Und das schöne ist, hat man einen solchen Mechanismus einmal, dann kann man ihn immer weiter verwenden und man kann somit auch roaming User supporten. Die wenigstens haben feste IPs.

Alternativ kann man natürlich einen Wrapper als zusätzliche Methode einsetzen, wenn es sich um einen besonders kritischen Dienst handelt. Ich mach das beim SSH so, da ich zu Hause eine statische IP habe und bei SSH ganz sicher gehen will - zu viele Vulnerabilitiies in OpenSSH und OpenSSL über die Jahre für meinen Geschmack.
All times are UTC+01:00
Page 1 of 1