일반적인 물리적 위치를 기반으로 FTP 연결을 거부하는 (쉬운) 방법이 있습니까? 저는 저와 제 친구들을 위한 간단한 클라우드 저장소로 FTP를 사용할 계획입니다. 저는 odroid c2(라즈베리 파이와 유사하지만 arm64 아키텍처를 사용함)로 Debian 8을 실행하고 있으며 proftpd와 ufw를 방화벽으로 사용하고 있습니다. Ftp 서버는 여기서 언급하지 않을 비표준 포트에서 실행됩니다. 서버 보안을 강화하기 위해 이렇게 하고 싶습니다.
답변1
팸을 사용하고지리정보기준 치수
이 PAM 모듈은 GeoIP 로그인 확인을 제공합니다. 소스 IP 주소의 위치에 따라 사용자를 허용하거나 거부할 수 있습니다. 이는 pam_access(8)와 유사하지만 호스트 이름/IP 일치 대신 GeoIP 도시 또는 GeoIP 국가 데이터베이스를 사용합니다.
답변2
CIDR[1] IP 범위를 사용하여 어느 정도 이 작업을 수행할 수 있습니다. 이는 국가[2]에 매핑될 수 있기 때문입니다.
그런 다음 다음과 같은 앱을 사용할 수 있습니다.iptables[3] 프로토콜에 관계없이 모든 포트에서 들어오는 트래픽을 제어합니다.이 튜토리얼좀 더 자세히 설명해보세요.
CIDR과 함께 사용하는 경우 명령은 다음과 같습니다.
iptables -A INPUT -s 64.110.50.0/24 -j ACCEPT
친구 수에 따라 다음과 같이 범위를 좁힐 수 있습니다.친구의 통신/인터넷 제공업체가 예약한 IP 블록.
(그런데 Amazon의 클라우드 서비스는 CIDR 규칙을 사용하며 이러한 방식으로 AWS 인스턴스를 더욱 안전하게 만들 것을 강력히 권장합니다. 따라서 귀하의 질문에는 장점이 많지만 방금 가입했기 때문에 투표를 할 수 없습니다. 나타나지 않음).
초보자가 사용할 수 있는 링크가 두 개만 있으므로 추가 참조 링크를 삽입할 수 없습니다.
1) en.wikipedia.org/wiki/Classless_Inter-Domain_Routing
2) blog.erben.sk/2014/02/06/country-cidr-ip-ranges
3) en.wikipedia.org/wiki/Iptables
답변3
ProFTPD를 사용하는 것이 좋습니다mod_geoip모듈에서는 최소한 지리적 콘텐츠/국가(및 가능한 경우 도시)에 대한 연결을 제한합니다. 이는 PAM 구성이 필요하지 않고 더 유연하다는 점을 제외하면 동일한 geoip 라이브러리/데이터베이스를 사용하는 @Ipor의 답변과 유사합니다.