в локальной сети есть платный видео сервер, через веб интерфейс можно найти нужный фильм в базе и скачать его, закачка осуществляется через ftp. ftp доступен только c ip заплативших клиентов.
как лучше организовать сервер что бы нельзя было зайти на фтп в обход веб интерфейса, даже заплатившим пользователям, может вообще сделать не через фтп? и еще сделать соответствие ip mac адреса что бы все могли просматривать веб но только оплатившие могли скачивать(нельзя поменять ip и скачать)?
система: redhat9 proftpd 1.3.0rc1 apache 2
sftp не спасет отца русской демократии ?
>в локальной сети есть платный видео сервер, через веб интерфейс можно найти
>нужный фильм в базе и скачать его, закачка осуществляется через ftp.
>ftp доступен только c ip заплативших клиентов.
>как лучше организовать сервер что бы нельзя было зайти на фтп в
>обход веб интерфейса, даже заплатившим пользователям, может вообще сделать не через
>фтп? и еще сделать соответствие ip mac адреса что бы все
>могли просматривать веб но только оплатившие могли скачивать(нельзя поменять ip и
>скачать)?
>система: redhat9 proftpd 1.3.0rc1 apache 2
...прочитал еще раз....
ты хочешь телевидение в сети что ли ?>в локальной сети есть платный видео сервер, через веб интерфейс можно найти
>нужный фильм в базе и скачать его, закачка осуществляется через ftp.
>ftp доступен только c ip заплативших клиентов.
>как лучше организовать сервер что бы нельзя было зайти на фтп в
>обход веб интерфейса, даже заплатившим пользователям, может вообще сделать не через
>фтп? и еще сделать соответствие ip mac адреса что бы все
>могли просматривать веб но только оплатившие могли скачивать(нельзя поменять ip и
>скачать)?
>система: redhat9 proftpd 1.3.0rc1 apache 2
>...прочитал еще раз....
>ты хочешь телевидение в сети что ли ?ну телевидение возможно в будущем сделаю:) а сейчас это просто файловый сервер, закачку информации с которого необходимо разрешить только определенным пользователям.
p.s. если есть что то по поводу телевидения рассказывайте:)
а чего тут думать -раз скачанный файл теряет ценность для сервера его предоставившего ибо пользователи начнут обмениваться ими между собой
если хочешь делать что-то серьезное -делай кино по запросу...
оплатил -получи возожность посмотреть в течение суток фильм никаких заморочек с фтп и тд
рыть google>>...прочитал еще раз....
>>ты хочешь телевидение в сети что ли ?
>
>ну телевидение возможно в будущем сделаю:) а сейчас это просто файловый сервер,
>закачку информации с которого необходимо разрешить только определенным пользователям.
>
>p.s. если есть что то по поводу телевидения рассказывайте:)
>а чего тут думать -раз скачанный файл теряет ценность для сервера его
>предоставившего ибо пользователи начнут обмениваться ими между собой
>если хочешь делать что-то серьезное -делай кино по запросу...
>оплатил -получи возожность посмотреть в течение суток фильм никаких заморочек с фтп
>и тд
>рыть googleда просто дело в том что некоторым проще внести символическую плату, да и пользоваться централизованным сервером, а не искать кого-то у кого есть доступ и просить у него скачать. поэтому и хочу сделать защиту от посторонних только по ip и mac пока без всяких наворотов.
>>а чего тут думать -раз скачанный файл теряет ценность для сервера его
>>предоставившего ибо пользователи начнут обмениваться ими между собой
>>если хочешь делать что-то серьезное -делай кино по запросу...
>>оплатил -получи возожность посмотреть в течение суток фильм никаких заморочек с фтп
>>и тд
>>рыть google
>
>да просто дело в том что некоторым проще внести символическую плату, да
>и пользоваться централизованным сервером, а не искать кого-то у кого есть
>доступ и просить у него скачать. поэтому и хочу сделать защиту
>от посторонних только по ip и mac пока без всяких наворотов.
>
При оплате создется временный аккаунт часа на 2 а в домашний каталог данного аккаунта кладется символическая ссылка на нужный фильм..... Все просто, несколько скриптов и все
>При оплате создется временный аккаунт часа на 2 а в домашний каталог
>данного аккаунта кладется символическая ссылка на нужный фильм..... Все просто, несколько
>скриптов и всеоплата производится не за один фильм, а за месяц, как абон плата, потом пользователь качает сколько хочет.
народ а подскажите как сделать кино по запросу? куда хоть копать то? как это вообще реализовывается?
еще хотелось бы узнать как сделать ip телевиденье, что бы можно было транслировать видео через сеть. есть ли какие то альтернативы videolan?
Посмотри в сторону тсп-враппера
man inetd
man tcpd
man 5 hosts_accessв папке etc лежит файл hosts.allow, в котором можно сделать разнообразные настройки по поводу того, откуда можно куда-либо заходить и что-либо делать. Примерно так:
proftpd: 192.168.1.1 192.168.1.2
разрешит пользователям с соответствующих адресов заходить на ваш фтп. Остальные побреются :)
>Посмотри в сторону тсп-враппера
>man inetd
>man tcpd
>man 5 hosts_access
>
>в папке etc лежит файл hosts.allow, в котором можно сделать разнообразные настройки
>по поводу того, откуда можно куда-либо заходить и что-либо делать. Примерно
>так:
>
>proftpd: 192.168.1.1 192.168.1.2
>
>разрешит пользователям с соответствующих адресов заходить на ваш фтп. Остальные побреются :)
>
так и в самом proftpd есть настройка что бы можно было заходить на фтп только с определенных ip, это я уже сделал. теперь нужно что бы другой пользователь не мог взять чужой ip и зайти под ним, а именно необходимо привезать ip к mac адресу. в моем случае этого будет достаточно. но как правильно сделать привязку для зарегистрированных пользователей, что бы она не отразилась на не зарегестрированных пользователях, а именно на их доступе к сайту?
man arp на предмет -s а потом -f
вот только оно тебе надо ?
твои пользователи еще раньше тебя прочухают как себе поставить нужным MAC...
>>Посмотри в сторону тсп-враппера
>>man inetd
>>man tcpd
>>man 5 hosts_access
>>
>>в папке etc лежит файл hosts.allow, в котором можно сделать разнообразные настройки
>>по поводу того, откуда можно куда-либо заходить и что-либо делать. Примерно
>>так:
>>
>>proftpd: 192.168.1.1 192.168.1.2
>>
>>разрешит пользователям с соответствующих адресов заходить на ваш фтп. Остальные побреются :)
>>
>так и в самом proftpd есть настройка что бы можно было заходить
>на фтп только с определенных ip, это я уже сделал. теперь
>нужно что бы другой пользователь не мог взять чужой ip и
>зайти под ним, а именно необходимо привезать ip к mac адресу.
>в моем случае этого будет достаточно. но как правильно сделать привязку
>для зарегистрированных пользователей, что бы она не отразилась на не зарегестрированных
>пользователях, а именно на их доступе к сайту?
>man arp на предмет -s а потом -f
>вот только оно тебе надо ?
>твои пользователи еще раньше тебя прочухают как себе поставить нужным MAC...читал уже, вот что вычитал:
/usr/sbin/arp -d -a
/usr/sbin/arp -s 192.168.1.1 0:92:37:91:12:a3 pub
/usr/sbin/arp -s 192.168.1.2 0:0:0:0:0:0 pubвот только тут получается что пользователи которых я не забил в таблицу не смогут иметь доступ к серверу вообще... или я не прав?
На это сильно не надейся. Допустим я в твоей сети и хочу на халяву фильм. Мне для этого потребуется узнать МАС того, кто этот фильм себе оплатил, а потом поменять на своей сетевухе и IP и MAC. И вуаля. Ты побрился.ЕДИНСТВЕННЫЙ НАДЕЖНЫЙ СПОСОБ ЗАЩИТИТЬСЯ ОТ ПОДМЕНЫ - ИСПОЛЬЗОВАТЬ УПРАВЛЯЕМОЕ ОБОРУДОВАНИЕ С ВОЗМОЖНОСТЬЮ ПРИВЯЗКИ К ПОРТАМ И/ИЛИ СОЗДАНИЕМ ВИЛАНОВ.
>На это сильно не надейся. Допустим я в твоей сети и хочу
>на халяву фильм. Мне для этого потребуется узнать МАС того, кто
>этот фильм себе оплатил, а потом поменять на своей сетевухе и
>IP и MAC. И вуаля. Ты побрился.
>
>ЕДИНСТВЕННЫЙ НАДЕЖНЫЙ СПОСОБ ЗАЩИТИТЬСЯ ОТ ПОДМЕНЫ - ИСПОЛЬЗОВАТЬ УПРАВЛЯЕМОЕ ОБОРУДОВАНИЕ С ВОЗМОЖНОСТЬЮ
>ПРИВЯЗКИ К ПОРТАМ И/ИЛИ СОЗДАНИЕМ ВИЛАНОВ.99% пользователей нашей сети даже и не знают о существование mac адреса, а уж тем более о том что его можно поменять обойдя тем самым защиту сервера. так что я думаю что пока этого будет достаточно.
а вообще что бы защитить на 100% сервер нужно сделать логин и пароль, и реализовать учет трафика, что бы пользователи не раздавали свои логины другим.
>99% пользователей нашей сети даже и не знают о существование mac адреса,
>а уж тем более о том что его можно поменять обойдя
>тем самым защиту сервера. так что я думаю что пока этого
>будет достаточно.
>а вообще что бы защитить на 100% сервер нужно сделать логин и
>пароль, и реализовать учет трафика, что бы пользователи не раздавали свои
>логины другим.Да, но есть еще 1%, который знает. Чтобы посмотреть, к чему это приводит поройся в архиве форума OpenNET. Был тут один пост от бедолаги сисадмина, которого удаленно имели путем подобной атаки по смене МАС и IP. Пост очень большой. Очень поучительно почитать. Сразу отрезвляет от подобных настроений. Логин и пароль же - это метод авторизации. Это НЕ защита. Тут правда может помоч шифрование траффика, но не сильно. А вот сервак это удовольствие будет грузить ой как хорошо.
Пример: 24 портовый управляемый коммутатор D-Link DES-3526 стоит порядка 500 баксов. (http://www.dlink.ru/products/prodview.php?type=13&id=407) Таким можно накрыть довольно крупный дом. Также эти коммутаторы можно стекировать (до 32 устройств). Конечно D-Link - это не Cisco, качество тут не такое хорошее, но для домашней сети вполне пойдет.Еще рекомендую посетить сайт www.nag.ru
>Да, но есть еще 1%, который знает. Чтобы посмотреть, к чему это
>приводит поройся в архиве форума OpenNET. Был тут один пост от
>бедолаги сисадмина, которого удаленно имели путем подобной атаки по смене МАС
>и IP. Пост очень большой. Очень поучительно почитать. Сразу отрезвляет от
>подобных настроений. Логин и пароль же - это метод авторизации. Это
>НЕ защита. Тут правда может помоч шифрование траффика, но не сильно.
>А вот сервак это удовольствие будет грузить ой как хорошо.
>Пример: 24 портовый управляемый коммутатор D-Link DES-3526 стоит порядка 500 баксов. (http://www.dlink.ru/products/prodview.php?type=13&id=407)
>Таким можно накрыть довольно крупный дом. Также эти коммутаторы можно стекировать
>(до 32 устройств). Конечно D-Link - это не Cisco, качество тут
>не такое хорошее, но для домашней сети вполне пойдет.
>
>Еще рекомендую посетить сайт www.nag.ruуправляемый свичь это конечно хорошо, но мне как человеку не имеющему отношение к домашней сети, кроме моего видео сервера, это не выход.
может есть еще какие то варианты?
вот еще вопрос к всезнающему ALL.
как реализовать MMS / MMSH streaming to Windows Media Player из mpeg вильмов? нашел только videolan. к сожалению очень мало документации по этой теме.
Не знаю в тему ли, схожая задача (с очень большой натяжкой) была,правда ограничений подобно твоим не было.Требовалось закачивать на клиента по wi-fi видео-ролики и клиент непрерывно транслировал их, причем клиент перемещаемый, и находился в зоне покрытия wi-fi от силы 1-1,5 часа.Ну так вот, для клиента нашли GeexBox ,маленький линь который умеет только мультимедиа и сеть,в процессе поисков был найден еще и movix,такая же байда (кстати на основе этих карликов можно лепить самодостаточные видеодиски :)P.S.А для твоей задачи всетаки videolan-server поднимать надо,наверное....