成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

解決Linux iptables防火墻和vsftpd的問題

作者:Shaohui
運維 系統運維
最近在研究Linux下Firewall的配置,發現配置好防火墻以后ftp就有問題了,一直都不能夠用Filezilla 和 CuteFTP登錄,在列出目錄的時候一直會失敗。

最近在研究Linux下Firewall的配置,發現配置好防火墻以后ftp就有問題了,一直都不能夠用Filezilla 和 CuteFTP登錄,在列出目錄的時候一直會失敗。但是在命令行下面如果先執行passive off,一切正常。

答案在CU上找到的,主要是要使用 ip_conntrack_ftp

http://linux.chinaunix.net/bbs/viewthread.php?tid=812400

原文:

使用 -P INPUT DROP 引起的網路存取正常,但是 ftp 連入卻失敗?

依據前面介紹方式,只有開放 ftp port 21 服務,其他都禁止的話,一般會配置使用:

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

這樣的配置,確認 ftp 用戶端是可以連到 ftp 主機并且看到歡迎登入畫面,不過后續要瀏覽檔案目錄清單與檔案抓取時卻會發生錯誤...

ftp 協定本身于 data channnel 還可以區分使用 active mode 與 passive mode 這兩種傳輸模式,而就以 passive mode 來說,最后是協議讓 ftp client 連結到 ftp server 本身指定于大于 1024 port 的連接埠傳輸資料。

這樣配置在 ftp 傳輸使用 active 可能正常,但是使用 passive mode 卻發生錯誤,其中原因就是因為該主機firewall 規則配置不允許讓 ftp client 連結到 ftp server 指定的連結埠才引發這個問題。

要解決該問題方式,于 iptables 內個名稱為 ip_conntrack_ftp 的 helper,可以針對連入與連外目的 port 為 21 的 ftp 協定命令溝通進行攔截,提供給 iptables 設定 firwewall 規則的配置使用。開放做法為:

modprobe ip_conntrack_ftp

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

modprobe ip_conntrack_ftp

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

其中 -m state 部分另外多了 RELATED 的項目,該項目也就是狀態為主動建立的封包,不過是因為與現有 ftp 這類連線架構會引發另外才產生的主動建立的項目。

不過若是主機 ftp 服務不在 port 21 的話,請使用下列方式進行調整:

CODE:

modprobe ip_conntrack_ftp ports=21,30000

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

modprobe ip_conntrack_ftp ports=21,30000

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

也就是主機本身提供 ftp 服務分別在 port 21 與 30000 上,讓 ip_conntrack_ftp 這個 ftp helper 能夠正常提供 ftp 用戶端使用 passive mode 存取而不會產生問題。

【編輯推薦】

  1. Linux中利用系統庫文件來降低工作量
  2. 檢測在Linux系統下U盤是否已連接的方法
  3. Linux EXT3下刪除MySQL數據庫的數據恢復
責任編輯:趙寧寧 來源: IT專家網
Linuxiptables防火墻
相關推薦

2009-07-01 09:17:32

Linux防火墻

2011-03-17 16:00:57

2011-03-15 16:35:27

2011-03-15 17:18:45

2011-03-17 10:58:55

Linux防火墻Iptables入門

2010-01-07 14:12:11

Linux防火墻

2011-03-15 15:47:26

LinuxIptables防火墻

2018-10-09 09:00:02

2011-03-15 17:25:38

2011-03-15 09:10:42

Linux防火墻Iptables

2010-02-24 14:02:24

Fedora vsFT

2011-03-15 15:47:15

Iptables防火墻

2010-05-24 17:49:56

2011-03-15 17:12:11

2015-08-04 13:50:35

Linux防火墻iptables

2011-03-15 09:10:43

iptables防火墻

2018-07-02 09:18:11

Linuxiptables防火墻

2011-03-16 12:46:29

CentOSiptables防火墻

2011-03-15 17:38:24

2011-03-16 15:58:40

Iptables防火墻
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 色综合天天天天做夜夜夜夜做 | 中文字幕综合 | 91亚洲欧美 | 欧美国产精品 | 国产一区91精品张津瑜 | 在线国产视频 | 婷婷综合五月天 | 中文字幕成人av | 日韩在线一区二区三区 | 国产综合一区二区 | 国产精品色| 国产精品xxxx | 欧美精品一区二区三区四区五区 | 天堂中文av| 久久激情视频 | 欧美日韩中文在线观看 | 天堂亚洲网 | 欧美一级特黄aaa大片在线观看 | 天天操天天天干 | 日本aa毛片a级毛片免费观看 | 日韩精品一区二区三区高清免费 | 国产精品久久久久久久久久久久 | 国产成人免费视频 | 亚洲黄色一级 | 日韩一区二区在线视频 | 亚洲精品1| 欧美日韩在线电影 | 国产成人精品免费视频大全最热 | 综合久久av | 青春草91| 国产在线对白 | 国产精品视频区 | 亚洲人久久 | 欧美在线观看免费观看视频 | 在线观看a视频 | 久热久热 | 欧美在线视频一区二区 | 欧美中文字幕一区二区三区亚洲 | 国产精品国产a级 | 国产精品久久久久久婷婷天堂 | 国产一区高清 |