Архив форумов ЦИТФорума

[Jammy]

... И только в его папку. У меня ASP Linux.

[Denial_of_service]

-

[TepKuH]

Запретить все и навсегда

[AlexanderK]

прочитать про chroot для юзеров, зашедших по фтп (это к вопросу о "не выше своего каталога")

[Jammy]

Ну да, запретить все раз и навсегда... И себе самому - тоже )

[Denial_of_service]

-

[TepKuH]

Jammy просил запретить любой доступ на сервер кроме FTP.
вот мы и закрываем ВСЕ, кроме 21 и 20 порта.

[Denial_of_service]

-

[TepKuH]

Jammy короче все понял.

[and3008]

Для того, чтоб разрешать/запрещать пользователям ходить куда-либо надо провеста авторизацию.
Про прозрачную авторизацию читать на squid.opennet.ru

Ну а дальше что-то разрешаем, что-то запрещаем.

FireWall (анг. слово) он же брандмауэр (немецкое слово) - это программно-аппаратный комплекс предназначенный для неавторизаваного доступа к сети. К сети любой. Как к внутренней (локальная сеть), как и к внешней (например Internet).

Все понятно или я что-то пропустил?

[Denial_of_service]

-

[and3008]

-

[Jammy]

Да, я понял, что TepKuH - Ламер (упрямый), наверное, больше даже чем я. (Мне простительно, я юрист по образованию, а не програмер). )

[Jammy]

Мне вот что надо. У меня на сервере 5 юзеров.
3 - администраторы, им нужен доступ с любого айпишника (уже Firewall не прокатит - это я Теркину) на все сервисы, включая ssh, ftp, telnet и остальные.
Другим 2-м мне надо запретить все доступы кроме FTP, причем пусть с какого хотят, с такого айпишника и щимятся, это их дело, но кроме FTP им будет болт на 17.
Вот что меня интересует, а не убедительные советы по фаерволу )

[and3008]

Как машина будет юзверей друг от друга отличать? По запаху? Это что-то новое и насколько мне известно по локальной сети не передается.

Говорят же тебе, что перед тем как получить куда-то доступ нужно назваться. Т.е. авторизироваться где-то. Либо на проксе, либо на конкретном сервере.
Авторизация может быть прозрачная (например через Kerberos или NTLM), либо принудительная. Например по машине клиента должна висеть софтина, которая будет говорить кто реально за компом сидит. Сел админ за комп - забил свои данные в софтину и получил доступ. Сел другой - забей свои данные.

Не надо отплевываться от слова FireWall. Это такое же большое как небо.

Если ждешь готовых рецептов, то их просто нет. Каждый выкручивается как может. Где-то так, где-то сяк. Единых стандартов нет.

Если интересно - почитай журналы "Сети и системы связи" за прошлый и этот год. Там частенько про такие проблеммы пишут.

[Dmitry.Karpov http://www.]

uid user
Match all TCP or UDP packets sent by or received for a user. A user may be matched by name or identification number.

Там еще про gid есть - кому надо, сами прочитают.

[Denial_of_service]

-

[Denial_of_service]

-