Linux下Firewall防火墙的配置
来源:Asp之家 发布时间:2010-08-23 18:24:00
最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败。但是在命令行下面如果先执行passive off,一切正常。
答案在CU上找到的,主要是要使用 ip_conntrack_ftp
原文:
使用 -P INPUT DROP 引起的网路存取正常,但是 ftp 连入却失败?
依据前面介绍方式,只有开放 ftp port 21 服务,其他都禁止的话,一般会配置使用:
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
这样的配置,确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登入画面,不过后续要浏览档案目录清单与档案抓取时却会发生错误。..
ftp 协定本身于 data channnel 还可以区分使用 active mode 与 passive mode 这两种传输模式,而就以 passive mode 来说,最后是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。
这样配置在 ftp 传输使用 active 可能正常,但是使用 passive mode 却发生错误,其中原因就是因为该主机firewall 规则配置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题。
要解决该问题方式,于 iptables 内个名称为 ip_conntrack_ftp 的 helper,可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截,提供给 iptables 设定 firwewall 规则的配置使用。开放做法为:
modprobe ip_conntrack_ftp
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
modprobe ip_conntrack_ftp
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
其中 -m state 部分另外多了 RELATED 的项目,该项目也就是状态为主动建立的封包,不过是因为与现有 ftp 这类连线架构会引发另外才产生的主动建立的项目。
不过若是主机 ftp 服务不在 port 21 的话,请使用下列方式进行调整:
CODE:
modprobe ip_conntrack_ftp ports=21,30000
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000 -j ACCEPT
modprobe ip_conntrack_ftp ports=21,30000
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000 -j ACCEPT
也就是主机本身提供 ftp 服务分别在 port 21 与 30000 上,让 ip_conntrack_ftp 这个 ftp helper 能够正常提供 ftp 用户端使用 passive mode 存取而不会产生问题。
0
投稿猜你喜欢
- 鉴于大部分网站入侵都是利用asp木马完成的,特写此文章以使普通虚拟主机用户能更好地了解、防范asp木马。也只有空间商和虚拟主机用户共同做好防
Lunarpages是一家成立于2000年的美国虚拟主机商,在短短的9年时间内,服务的全球客户总数已超过20万。这其中最大的原因就是Luna- 环境:RedHat as3jdk安装路径:/usr/java/jdkTomcat安装路径:/usr/local/tomcat/总共分为以下几
- 前言linux权限多设的比较松的其实,但有的虚拟机还是不能跨目录访问的。在提不了权的情况下,试试如下代码吧。运气好的话说不定就跨过去了。下面
- 11月9日下午消息,继涉足电子杂志、淘宝开店后,徐静蕾旗下的开啦零束缚配饰品牌今日正式上线,并选择服装垂直销售公司VANCL凡客诚品作为独家
- VMware虚拟机下运行Linux系统已经是非常常见了,本人就是在WMware中安装了Ubuntu,但问题是每次启动Ubuntu系统,VMW
- 微利图片即低价图片,在英语中被称为“一美元图片”,其售价仅是传统图片的百分之几至十分之几。微利图片采用在线交易模式,整个下载和授权流程由图片
- 网上找了一些资料部署,出现不一样的问题,现在总结一下自己的部署流程。1、资源准备Dockerfile文件# "ported&quo
- 以前说过反向链接质量越高,对排名帮助越大。而质量高的外部链接,比较少是交换来的友情链接。不过话说回来,质量高的链接并不好找。很多时候交换链接
- 一、登陆dmoz全球最大的开放式目录库dmoz,开放目录项目(Open Directory Project ,简称ODP),也称为DMOZ(
- 从真正接触网络到做个人站长,也就几年的事情,得出一个结论,做站长很辛苦。也许一个站长少了很多与别人谈笑的时间,却多了许多面对电脑独自思考的理
- 您是不是在为不知道怎样提高网站上的广告单价而烦恼?那么就好好学习一下我们今天的这篇文章吧!在Google AdSense 系统投放广告时,网
- 安全性在性能与用户关心的Web服务器安全性之间找出平衡点是您将面对的重要问题之一,尤其是当您经营电子商务网站更是如此。因为安全的网络通讯比不
- 这段时间正在学习Redis和容器相关的内容,因此想通过docker搭建一套redis主从系统来加深理解。看这篇文章可能你需要一定
- 为了方便不熟悉英文的朋友,我特地将购买Inmotion主机的流程用图文并茂加注解的方式演示一遍。1、点击这里进入Inmotion官方网站2、
- 五、个性化“任务栏”和“开始”菜单在图6所示窗口的右侧,显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例: 图 6
- 最近我在VMware上面用三台虚拟机搭建了一个hadoop的集群。但是后来发现了一个问题:每次重新打开三台机器的时候,因为主机所连接的网络的
- 北京时间10月24日消息,据国外媒体报道,Facebook首页正在进行新一轮改版,以期用户寻找信息时能更便捷。改变之一是,在首页呈现其认为过
- 系统:centos 6.51.yum安装和源代码编译在使用的时候没啥区别,但是安装的过程就大相径庭了,yum只需要3个命令就可以完成,源代码
- 前天晚上登陆GG后台看到截止4月份的收入已经签发,总额是$105.69。赚GG的广告费也不容易,我也不知道这是多少个日夜所累积起来的第一笔来
