Cerox
05.01.07, 17:34
Hallo zusammen,
ich habe auf meinem Server einen ProFTPd laufen, der auch von außen erreichbar ist und weiterhin erreichbar sein soll. Es gibt auf dem System einen User "xy" (ich nenne ihn mal so), der über Zugriff auf die gesamte Datenplatte (eine separate 250GB Festplatte) verfügt. FTP soll in dieser Hinsicht zum Einsatz kommen, da ich eine hohe Datenübertragungsrate benötige; SCP und SMB sind mir zu langsam.
Bisher setze ich bei Bedarf (d.h. beim Schreibzugriff auf die Datenplatte übers Netz) vorher die Shell von xy auf bash, anschließend wieder auf false, damit sich keiner von außen verbinden kann. Es kennt zwar keiner die Zugangsdaten für den User xy; trotzdem möchte ich folgendes:
Es sollen sich nur Hosts aus dem internen Netz 192.168.5.0/24 mit dem Benutzer xy verbinden können; User von anderen Netzen sollen abgewiesen werden, d.h. der User soll seine bash-Shell behalten. Da ich mit einem Paketfilter wie iptables nicht auf Anwendungsebene filtern kann, fällt mir im Moment keine Lösung dafür ein. Man könnte natürlich auch zwei FTP-Server laufen lassen, aber ich bitte erstmal um Vorschläge, wie man das auch anders realisieren könnte.
ich habe auf meinem Server einen ProFTPd laufen, der auch von außen erreichbar ist und weiterhin erreichbar sein soll. Es gibt auf dem System einen User "xy" (ich nenne ihn mal so), der über Zugriff auf die gesamte Datenplatte (eine separate 250GB Festplatte) verfügt. FTP soll in dieser Hinsicht zum Einsatz kommen, da ich eine hohe Datenübertragungsrate benötige; SCP und SMB sind mir zu langsam.
Bisher setze ich bei Bedarf (d.h. beim Schreibzugriff auf die Datenplatte übers Netz) vorher die Shell von xy auf bash, anschließend wieder auf false, damit sich keiner von außen verbinden kann. Es kennt zwar keiner die Zugangsdaten für den User xy; trotzdem möchte ich folgendes:
Es sollen sich nur Hosts aus dem internen Netz 192.168.5.0/24 mit dem Benutzer xy verbinden können; User von anderen Netzen sollen abgewiesen werden, d.h. der User soll seine bash-Shell behalten. Da ich mit einem Paketfilter wie iptables nicht auf Anwendungsebene filtern kann, fällt mir im Moment keine Lösung dafür ein. Man könnte natürlich auch zwei FTP-Server laufen lassen, aber ich bitte erstmal um Vorschläge, wie man das auch anders realisieren könnte.