研究Linux下Firewall防火墙的配置
核心提示:最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有题目了,1直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候1直会失败。但是在命令行下面假设先履行passive off,1切正常。
最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有题目了,1直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候1直会失败。但是在命令行下面假设先履行passive off,1切正常。
答案在CU上找到的,主要是要使用 ip_conntrack_ftp
原文:
使用 -P INPUT DROP 引发的网路存取正常,但是 ftp 连进却失败?
根据前面先容方式,只有开放 ftp port 21 服务,其他都制止的话,1般会配置使用:
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
这样的配置,确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登进画面,不过后续要浏览档案目录清单与档案抓取时却会产生毛病。..
ftp 协议本身于 data channnel 还可以辨别使用 active mode 与 passive mode 这两种传输模式,而就以 passive mode 来讲,最后是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。
这样配置在 ftp 传输使用 active 可能正常,但是使用 passive mode 却产生毛病,其中缘由就是由于该主机firewall 规则配置不答应让 ftp client 连结到 ftp server 指定的连结埠才引发这个题目。
要解决该题目方式,于 iptables 内个名称为 ip_conntrack_ftp 的 helper,可以针对连进与连外目的 port 为 21 的 ftp 协议命令沟通进行拦截,提供给 iptables 设定 firwewall 规则的配置使用。开放做法为:
modprobe ip_conntrack_ftp
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
modprobe ip_conntrack_ftp
iptables -P INPUT DROP
1 2 下1页
核心提示:最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有题目了,1直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候1直会失败。但是在命令行下面假设先履行passive off,1切正常。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
其中 -m state 部份另外多了 RELATED 的项目,该项目也就是状态为主动建立的封包,不过是由于与现有 ftp 这类连线架构会引发另外才产生的主动建立的项目。
不过若是主机 ftp 服务不在 port 21 的话,请使用以下方式进行调剂:
CODE:
modprobe ip_conntrack_ftp ports=21,30000
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000 -j ACCEPT
modprobe ip_conntrack_ftp ports=21,30000
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000 -j ACCEPT
也就是主机本身提供 ftp 服务分别在 port 21 与 30000 上,让 ip_conntrack_ftp 这个 ftp helper 能够正常提供 ftp 用户端使用 passive mode 存取而不会产生题目。
上1页 1 2 唐山网站建设www.fw8.netTAG:防火墙,主机,目录,题目,协议
|
评论加载中...
|
邮 箱:admin@fw8.net 