Vsftpd: журнал привел попытки входа в систему к сбою
Ваш брандмауэр может обработать больше, чем "внутреннее" и "внешняя" сеть? Если это может обработать три сети, необходимо определить их как "LAN", "демилитаризованную зону" и "Интернет", и затем подключить те интерфейсы к различным переключателям (или различным VLAN на управляемом коммутаторе).
Если Ваш брандмауэр не может обработать демилитаризованную зону, то необходимо будет настроить сеть по-другому (и добавить другой брандмауэр); так или иначе Вы закончите с двумя логически разделенными сегментами сети, LAN и демилитаризованной зоной, которая может связаться только через брандмауэр.
Необходимо затем выбрать, если Вы хотите разделить свой VMs только на сетевом уровне, или если Вы на самом деле хотите, чтобы демилитаризованная зона VMs работала на различных хостах, чем LAN VMs.
В первом случае каждый хост ESX должен иметь по крайней мере три сетевых интерфейса: один для сервисной консоли (подключенный к Вашей LAN), один для соединения VMs к LAN и один для соединения VMs к демилитаризованной зоне; если Вы хотите VMotion, добавьте другой интерфейс для этого, также.
Во втором случае каждому хосту нужны по крайней мере два интерфейса: один для сервисной консоли (всегда подключаемый к LAN, Вы не хотите это в демилитаризованной зоне), и один для трафика VM. Снова при необходимости в VMotion Вам будет нужен другой интерфейс.
Похоже, vsftpd сначала проверяет имя пользователя в userlist_file и выполняет PAM только в том случае, если пользователю это разрешено (с конфигурацией выше). Я бы посоветовал отключить параметры userlist_ * и реализовать список запрещенных в конфигурации PAM.
# put this line into /etc/pam.d/vsftpd as first "auth" check
auth required pam_listfile.so item=user sense=allow file=/etc/vsftpd.allowed_users onerr=fail
Тогда вы должны увидеть отклоненные попытки журнала в auth.log.
Дополнительная информация - pam_listfile.so