|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Davydov 2:5020/400 25 Feb 2004 19:25:32
To : Kostya Lesnichenko
Subject : Re: ограничение ip в ProFTPD 1.2
--------------------------------------------------------------------------------
> From: Kostya Lesnichenko <kostya@element.ru>
> Date: Fri, 20 Feb 2004 19:37:00 +0000 (UTC)
>
>В связи с этим появилась идея сливать в рунет траффик. Благо интересный
>контент есть. Осталось только ограничить рунет. Сервер proftpd был выбран
>как самый надежный. Однако возникли затруднения в настройке правил.
Вот в этом и ошибка. Выбирать надо не по мифической надёжности, а по
способности решать поставленные задачи с минимальным геморроем.
>Знакомство с руководством ничего приятного не дало: proftpd умеет
>ограничивать зоны IP только самым дедовским способом (1.2.3.,host,...)
>Hи о каких масках сетей они и духом не слыхивали. А без них никуда не дется
>- весь рунет описан с точностью до 1 IP адреса.
man 5 hosts_access достаточно гибок?
>Вот один из них, где мы и хостимся
>http://noc.masterhost.ru/allrunet/runet
>
>Далее внимание привлек вспомагательный модуль mod_wrap. Для тех, кто не
>знает, он позволяет задействовать богатый(?) набор правил доступа.
>http://www.castaglia.org/proftpd/modules/mod_wrap.html
А, вот-вот, оно и есть.
>Hо и тут нас постигает неудача. Возможно я не смог разобраться с
>синтаксисом hosts.allow и hosts.deny. Вот как я их составил:
Возможно. Hо это зависит от версии системы. Сейчас вообще достаточно одного
файла hosts.allow с записями вида service:client:ALLOW/DENY. Вот только не
знаю, появилось ли это в манах.
>hosts.deny
>ALL: ALL
>
>hosts.allow
>ALL: 193.108.182.0/255.255.255.0
>ALL: 193.108.207.0/255.255.255.0
>...
Ты можешь внятно объяснить, почему перед первым двоеточием у тебя стоит "ALL"?
>Как я выяснил методом тыка, формат hosts.allow имеет такие ограничения:
>1) использовать больше 1024 символа для одного правила
>
>пример:
>ALL: 1.2.3.4/mask 5.6.7.8/mask 9.10.11.12/mask
>работает нормально, пока число символов не перегнет 1024
А как насчёт ftpd: @/etc/runet.list - тыкал?
>2) последующие правила перекрывают предыдущие
>
>пример:
>ALL: 1.2.3.4/mask
>ALL: 5.6.7.8/mask
>ALL: 9.10.11.12/mask
>будет работать только последнее правило
Вообще-то в документации написано
ACCESS CONTROL FILES
The access control software consults two files. The search
stops at the first match:
o Access will be granted when a (daemon,client) pair
matches an entry in the /etc/hosts.allow file.
o Otherwise, access will be denied when a (dae-
mon,client) pair matches an entry in the
/etc/hosts.deny file.
o Otherwise, access will be granted.
A non-existing access control file is treated as if it
were an empty file. Thus, access control can be turned off
by providing no access control files.
>Короче хрен знает как его заставить работать
Потыкать ещё? ;-)
Вал. Дав.
--- ifmail v.2.15dev5.3
* Origin: St. Petersburg State University (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
