Hallo zusammen,

Ein Kunde hat die Frage gestellt ob wir unseren FTP-Server wie folgt konfigurieren können:

1.Der FTP-Server soll für jeden User (7 Stück) einen eigenen Port bereitstellen.
2.Jeder FTP-User hat ein eigenen Login # Das dürfte klar sein#
3.Jedes Login ist an einen speziellen Port gebunden
4.Jeder Port darf nur Verbindungen von einer bestimmten IP annehmen
5.Es soll kein SFTP verwendet werden. # OK, wir wollen ja proftpd verwenden der basiert auf ftps und ist schon installiert#

- Ist das möglich mit proftpd?
- Hat evtl. schon jemand Erfahrung mit so einer Konfiguration gemacht?
- Wäre "virtual Host" und TCP AccessFiles ein möglicher Ansatz?

Anmerkung: Server und Client befinden sich in einem Netz hiter der Firewall.

Wäre für jede Unterstützung dankbar,

Besten Dank, xtwin

Wäre für jede Unterstützung dankbar,


hallo und willkommen auf dem board!

1. es ist alles moeglich.....

aber warum fuer jeden kunden einen extra port?

wenn du das willst, dann musst du verschiede proftp-server-dienste laufen lassen bzw. starten ( mit der jeweils passender start option )


zugriffe kannst du dann z.b. mit iptables steuern

nochmal: warum fuer jeden user einen extra port?

Kannst Du kurz den Sinn bzw. das Projektziel dieses Szenarios erläutern?

Für mich sieht das danach aus das der Kunde irgendwas ganz falsch versteht und deswegen auf Basis falscher Annahmen dieses wirre Konstrukt vorschlägt.

mfg
cane

@ cane und muell200

vielen Dank für die schnelle Reaktion auf meine Anfrage, ich erläutere Euch das Thema
genauer, aber muss eben zum Mittag und danach Meeting.

Danke nochmal und bis später.... Grüsse xtwin

Auf System XX des Projektpartners (sorry, Kunde bitte streichen,war vorher falsch formuliert) werden spezielle Daten empfangen. Die Daten werden über einen angepassten (darf aber an dieser Stelle nicht näher darauf eingehen) FTP-Client über das gemeinsame Projektnetz an unseren FTP-Server YY (proftpd) geschickt.

Das hat bisher auch alles funktioniert, nur muss jetzt, im Rahmen der IT-Sicherheit, der FTP-Server folgende Bedingungen erfüllen und wurde wie folgt auf einem Testsystem installiert .

- Verschlüsselung Kontrollkanal (nicht Datenkanal, realisiert mit mod_tls)
- Passive Modus
- Nur User in Gruppe ftpuser können sich einloggen
- Random Ports sollen benutzt werden
- Nur bestimmte Clients haben Zugriff (Resource Limits)
- Anonymous FTP musste abgeschaltet werden
- Abruch der Verbindung nach erfolglosem Zugriff (Resource Limits)

Zusätzlich verlangt der Projektpartner (Verträge, IT-Sicherheit) die oben beschrieben Konfigurationen, auch hier darf ich nicht näher darauf eingehen. Es ist halt einfach so, über Sinn oder Unsinn könnte man jetzt diskutieren, aber ich brauche eine technische Lösung.

Wenn wir das mit proftpd nicht hinbekommen haben wir ein Problem.

Deshalb ist für mich eigentlich nur wichtig, geht das grundsätzlich mit proftpd oder nicht.

Hoffe das genügt Euch als Erklärung,

Danke schon mal vorab für Eure Hilfe.

Grüsse xtwin

Die Lösung wurd ja oben schon genannt...
Für jeden Port nen eigenen proftpd starten mit entsprechender Port-Angabe/Config.

Gefällt mir irgendwie nicht, gibt es denn keine elegantere Lösung?

Gefällt mir irgendwie nicht, gibt es denn keine elegantere Lösung?

den ftp server mit einem port starten :)

und die user-verwaltung dem ftp-server ueberlassen
ihkl. chroot

was stoert den sicherheits-admin bzw. der projekt-partner an der loesung?

hat er ein falsches buch gelesen...
- bzw. gebe Ihm mal ein buch ueber it-sicherheit :)

- Verschlüsselung Kontrollkanal (nicht Datenkanal, realisiert mit mod_tls)
- Passive Modus
- Nur User in Gruppe ftpuser können sich einloggen
- Random Ports sollen benutzt werden
- Nur bestimmte Clients haben Zugriff (Resource Limits)
- Anonymous FTP musste abgeschaltet werden
- Abruch der Verbindung nach erfolglosem Zugriff (Resource Limits)

- schon realisiert?
- geht
- geht
- TCP/IP-Verbindungsports, oder soll jeder Benutzer einen eigenen dedizierten port erhalten? (Ist imho nun nicht mehr klar dargelegt, da nur noch von dir/euch & einem Projektpartner geschrieben wird.)
- je nach Definition: geht
- geht
- was ist damit gemeint? Falsche Benutzername/Kennwort-Kombination == serverseitiger Verbindungsabbruch? Das geht

Ich würde den Server einfach auf einem Port rennen lassen und dann über IP-tables diverse Ports auf diesen weiterleiten lassen.
Das ist soweit ja kein Problem und erspart dir viele Resourcen und Konfigurationsaufwand...

Grüße

@strormbringer

Das hier ist schon implemetiert !! ...und funktioniert!!

- Verschlüsselung Kontrollkanal (nicht Datenkanal, realisiert mit mod_tls)
- Passive Modus
- Nur User in Gruppe ftpuser können sich einloggen
- Random Ports sollen benutzt werden
- Nur bestimmte Clients haben Zugriff (Resource Limits)
- Anonymous FTP musste abgeschaltet werden
- Abruch der Verbindung nach erfolglosem Zugriff (Resource Limits)

Das muss noch aufgesetzt werden:


1.Der FTP-Server soll für jeden User (7 Stück) einen eigenen Port bereitstellen.
2.Jeder FTP-User hat ein eigenen Login # Das dürfte klar sein#
3.Jedes Login ist an einen speziellen Port gebunden
4.Jeder Port darf nur Verbindungen von einer bestimmten IP annehmen
5.Es soll kein SFTP verwendet werden. # OK, wir wollen ja proftpd verwenden der basiert auf ftps und ist schon installiert#

Ist schon weiter oben gepostet worden.... dafür suche ich eine Lösung....

Grüsse

1.Der FTP-Server soll für jeden User (7 Stück) einen eigenen Port bereitstellen.
Ergo 7x proftpd, dürfte doch gehen ?



3.Jedes Login ist an einen speziellen Port gebunden

Logisch, da proftpd ja 7 mal läuft, und jeweils eigene User mitbringt ?


4.Jeder Port darf nur Verbindungen von einer bestimmten IP annehmen

Hört sich nach einem job für iptables an