Acesso somente LAN

Isso é feito melhor com regras de firewall. Usaremos ufwo firewall descomplicado para isso.

Primeiro, verificamos o status deufw

sudo ufw status

Se você vir Status: inactive, use o seguinte comando para ativar ufw:

sudo ufw enable

Conforme descrito no link abaixo, permitiremos as portas 20 e 21 para o acesso básico do VSFTPD. Não usaremos a regra ufw simples como:

sudo ufw allow ftp

pois isso permitirá o acesso de qualquer lugar. Para permitir o acesso somente LAN, usaremos a sintaxe avançada:

sudo ufw allow  from 192.168.0.0/24 to any port 20 proto tcp
sudo ufw allow  from 192.168.0.0/24 to any port 21 proto tcp

A from 192.168.0.0/24é a parte somente LAN. O seu pode ser diferente. Alguns roteadores domésticos atribuem endereços IP no intervalo 192.168.0.xe outros no intervalo 192.168.1.x, onde x está entre 2-255. A /24máscara de sub-rede diz que qualquer valor de x nesse intervalo é permitido.

Isso to anysignifica que qualquer endereço IP atribuído a este computador está correto. Como este computador não está atuando como roteador, essa configuração está correta.

O port 20(ou 21) é a porta que esta regra abre.

O proto tcpé o único tcpprotocolo (não o udpprotocolo) que pode ser usado.

Se quisermos adicionar as portas 990 e 40.000 a 50.000 portas ao firewall como no tutorial abaixo, podemos usar um comando para fazer isso:

sudo ufw allow  from 192.168.0.0/24 to any port 990,40000:50000 proto tcp

Uma nota sobre o IPv6

Eu não sei o suficiente sobre endereços locais IPv6 e máscaras de sub-rede para escrever uma resposta que inclua regras IPv6 ufw. Sem nenhuma regra de permissão IPv6, qualquer tentativa de usar endereços IPv6 para acessar o ftpsite será negada.

As respostas a esta pergunta sugerem que pode não haver uma solução fácil para o IPv6: Como permitir sub-redes IPv6 locais no ufw?

Pelo que vale a pena, a seguinte sintaxe de regra de permissão (com base em uma resposta à pergunta acima) é aceita por ufw:

sudo ufw allow  from fe80::/64 to any port 21 proto tcp

Isso deve permitir o acesso ftp do intervalo IPv6 de link local que começa com fe80.

Restringir o usuário a um único diretório

Isso está muito bem descrito no Tutorial do Oceano Digital . As principais etapas são reproduzidas abaixo:

Neste exemplo, o nome de usuário é sammy. O conceito básico é que o usuário sammy não deve ter acesso de gravação ao diretório base do diretório acessível ao usuário. Crie a ftppasta, defina sua propriedade e remova as permissões de gravação com os seguintes comandos:

sudo mkdir /home/sammy/ftp
sudo chown nobody:nogroup /home/sammy/ftp
sudo chmod a-w /home/sammy/ftp

Em seguida, criamos o diretório onde os arquivos podem ser carregados e atribuímos a propriedade ao usuário:

sudo mkdir /home/sammy/ftp/files
sudo chown sammy:sammy /home/sammy/ftp/files

Em seguida, editamos o arquivo de configuração do VSFTPD no nano:

sudo nano /etc/vsftpd.conf

e faça as seguintes alterações/adições:

. . .
# Allow anonymous FTP? (Disabled by default).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
. . .
write_enable=YES
. . .
chroot_local_user=YES
. . .
user_sub_token=$USER
local_root=/home/$USER/ftp
. . .

Quando terminarmos de fazer a alteração, salve e saia do arquivo.

Em seguida, criamos e adicionamos nosso usuário ao arquivo. Usaremos o sinalizador -a para anexar ao arquivo:

echo "sammy" | sudo tee -a /etc/vsftpd.userlist

Por fim, reiniciamos o daemon para carregar as alterações de configuração:

sudo systemctl restart vsftpd

Espero que isto ajude