<fieldset id='bwrw0'></fieldset>
        <i id='bwrw0'></i>

        <acronym id='bwrw0'><em id='bwrw0'></em><td id='bwrw0'><div id='bwrw0'></div></td></acronym><address id='bwrw0'><big id='bwrw0'><big id='bwrw0'></big><legend id='bwrw0'></legend></big></address>

        <dl id='bwrw0'></dl>

        <code id='bwrw0'><strong id='bwrw0'></strong></code>
      1. <tr id='bwrw0'><strong id='bwrw0'></strong><small id='bwrw0'></small><button id='bwrw0'></button><li id='bwrw0'><noscript id='bwrw0'><big id='bwrw0'></big><dt id='bwrw0'></dt></noscript></li></tr><ol id='bwrw0'><table id='bwrw0'><blockquote id='bwrw0'><tbody id='bwrw0'></tbody></blockquote></table></ol><u id='bwrw0'></u><kbd id='bwrw0'><kbd id='bwrw0'></kbd></kbd>
      2. <ins id='bwrw0'></ins>
      3. <i id='bwrw0'><div id='bwrw0'><ins id='bwrw0'></ins></div></i>

          <span id='bwrw0'></span>

        1. 研究Linux下Firewall防火墙的配置

          • 时间:
          • 浏览:9
          • 来源:124软件资讯网

            最近在研究Linux下Firewall的设置  ,发现设置好防火墙以后ftp就有问题了  ,一直都不能够用Filezilla 和 CuteFTP登录  ,在列出目录的时间一直会失败  。可是在下令行下面若是先执行passive off,一切正常  。

              谜底在CU上找到的,主要是要使用 ip_conntrack_ftp

              原文:

              使用 -P INPUT DROP 引起的网路存取正常  ,可是 ftp 连入却失败?

              依据前面先容方式 ,只有开放 ftp port 21 服务  ,其他都克制的话  ,一样平常会设置使用:

              iptables -P INPUT DROP

              iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

              iptables -A INPUT -p tcp --dport 21 -j ACCEPT

              iptables -P INPUT DROP

              iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

              iptables -A INPUT -p tcp --dport 21 -j ACCEPT

              这样的设置 ,确认 ftp 用户端是可以连到 ftp 主机而且看到接待登入画面  ,不外后续要浏览档案目录清单与档案抓取时却会发生错误...

              ftp 协定自己于 data channnel 还可以区分使用 active mode 与 passive mode 这两种传输模式 ,而就以 passive mode 来说 ,最后是协议让 ftp client 连结到 ftp server 自己指定于大于 1024 port 的毗连埠传输资料 。

              这样设置在 ftp 传输使用 active 可能正常 ,可是使用 passive mode 却发生错误 ,其中缘故原由就是由于该主机firewall 规则设置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题  。

              要解决该问题方式  ,于 iptables 内个名称为 ip_conntrack_ftp 的 helper  ,可以针对连入与连外目的 port 为 21 的 ftp 协定数令相同举行阻挡  ,提供应 iptables 设定 firwewall 规则的设置使用 。开放做法为:

              modprobe ip_conntrack_ftp

              iptables -P INPUT DROP

              iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

              iptables -A INPUT -i lo -j ACCEPT

              iptables -A INPUT -p tcp --dport 21 -j ACCEPT

              modprobe ip_conntrack_ftp

              iptables -P INPUT DROP
            iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

              iptables -A INPUT -i lo -j ACCEPT

              iptables -A INPUT -p tcp --dport 21 -j ACCEPT

              其中 -m state 部门另外多了 RELATED 的项目  ,该项目也就是状态为自动建设的封包  ,不外是由于与现有 ftp 这类连线架构会引发另外才发生的自动建设的项目 。

              不外若是主机 ftp 服务不在 port 21 的话  ,请使用下列方式举行调整:

              CODE:

              modprobe ip_conntrack_ftp ports=21,30000

              iptables -P INPUT DROP

              iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

              iptables -A INPUT -i lo -j ACCEPT

              iptables -A INPUT -p tcp --dport 21 -j ACCEPT

              iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

              modprobe ip_conntrack_ftp ports=21,30000

              iptables -P INPUT DROP

              iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

              iptables -A INPUT -i lo -j ACCEPT

              iptables -A INPUT -p tcp --dport 21 -j ACCEPT

              iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

              也就是主机自己提供 ftp 服务划分在 port 21 与 30000 上  ,让 ip_conntrack_ftp 这个 ftp helper 能够正常提供 ftp 用户端使用 passive mode 存取而不会发生问题