首页 > Linux考试认证

解决Linuxiptables防火墙和vsftpd的问题
时间:2009-07-01 17:18:10  作者:  我要投稿
Linux初探欢迎您的投稿,投放方法请点击这里查看,我们会定期赠送精美小礼品给优秀的投稿作者。海纳百川 取则行远!LinuxGoo欢迎您的到来。
最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败。但是在命令行下面如......
  最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败。但是在命令行下面如果先执行passive off,一切正常。
  答案在CU上找到的,主要是要使用 ip_conntrack_ftp
  使用 -P INPUT DROP 引起的网路存取正常,但是 ftp 连入却失败?
  依据前面介绍方式,只有开放 ftp port 21 服务,其他都禁止的话,一般会配置使用:
  iptables -P INPUT DROP
  iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
  iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  iptables -P INPUT DROP
  iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
  iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  这样的配置,确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登入画面,不过后续要浏览档案目录清单与档案抓取时却会发生错误...
  ftp 协定本身于 data channnel 还可linux认证更多详细资料以区分使用 active mode 与 passive mode 这两种传输模式,而就以 passive mode 来说,最后是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。
  这样配置在 ftp 传输使用 active 可能正常,但是使用 passive mode 却发生错误,其中原因就是因为该主机firewall 规则配置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题。
  要解决该问题方式,于 iptables 内个名称为 ip_conntrack_ftp 的 helper,可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截,提供给 iptables 设定 firwewall 规则的配置使用。开放做法为:
  modprobe ip_conntrack_ftp
  iptables -P INPUT DROP
  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  modprobe ip_conntrack_ftp
  iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  其中 -m state 部分另外多了 RELATED 的项目,该项目也就是状态为主动建立的封包,不过是因为与现有 ftp 这类连线架构会引发另外才产生的主动建立的项目。
  不过若是主机 ftp 服务不在 port 21 的话,请使用下列方式进行调整:

 1/2    1 2 下一页 尾页
如果您需转载 解决Linuxiptables防火墙和vsftpd的问题,请注明来自LinuxGoo.com,其版权归原作者所有。请广大网友留言时遵纪守法,使用文明用语。如果您在应用中有什么问题,请在下面留言,我们会尽快解答。
来顶一下
近回首页
返回首页
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
相关文章
栏目热门
站内搜索: 高级搜索
Powered by Linux初探  © 1999-2009 RSS