51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

解决Linux iptables防火墙和vsftpd的问题

作者:赛迪网
运维 系统运维
最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败。

最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败。但是在命令行下面如果先执行passive off,一切正常。

答案在CU上找到的,主要是要使用 ip_conntrack_ftp

linux.chinaunix.net/bbs/viewthread.php?tid=812400">http://linux.chinaunix.net/bbs/viewthread.php?tid=812400

原文:

使用 -P INPUT DROP 引起的网路存取正常,但是 ftp 连入却失败?

依据前面介绍方式,只有开放 ftp port 21 服务,其他都禁止的话,一般会配置使用:

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

这样的配置,确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登入画面,不过后续要浏览档案目录清单与档案抓取时却会发生错误...

ftp 协定本身于 data channnel 还可以区分使用 active mode 与 passive mode 这两种传输模式,而就以 passive mode 来说,***是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。

这样配置在 ftp 传输使用 active 可能正常,但是使用 passive mode 却发生错误,其中原因就是因为该主机firewall 规则配置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题。

要解决该问题方式,于 iptables 内个名称为 ip_conntrack_ftp 的 helper,可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截,提供给 iptables 设定 firwewall 规则的配置使用。开放做法为:

modprobe ip_conntrack_ftp

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

modprobe ip_conntrack_ftp

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

其中 -m state 部分另外多了 RELATED 的项目,该项目也就是状态为主动建立的封包,不过是因为与现有 ftp 这类连线架构会引发另外才产生的主动建立的项目。

不过若是主机 ftp 服务不在 port 21 的话,请使用下列方式进行调整:

CODE:

modprobe ip_conntrack_ftp ports=21,30000

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

modprobe ip_conntrack_ftp ports=21,30000

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

也就是主机本身提供 ftp 服务分别在 port 21 与 30000 上,让 ip_conntrack_ftp 这个 ftp helper 能够正常提供 ftp 用户端使用 passive mode 存取而不会产生问题。

【编辑推荐】

  1. Linux中利用系统库文件来降低工作量
  2. 检测在Linux系统下U盘是否已连接的方法
  3. Linux EXT3下删除MySQL数据库的数据恢复
责任编辑:赵宁宁 来源: 赛迪网
Linux防火墙
相关推荐
解决Linux iptables防火墙vsftpd问题
最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla和CuteFTP登录,在列出目录的时候一直会失败。

2009-06-30 10:07:23

Linuxiptables防火墙
Linux iptables防火墙介绍
Linux提供了一个非常优秀的防火墙工具:iptables。iptables完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。本文介绍的是Linuxiptables防火墙

2011-03-15 16:35:27

Linux系统Iptables防火墙
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。为大家讲下Linux系统Iptables防火墙的具体知识。

2011-03-17 16:00:57

巧用iptables建立Linux防火墙
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文将带大家看看巧用iptables建立Linux防火墙的过程。

2011-03-15 17:18:45

Linux防火墙Iptables入门笔记
新手们刚才学习Linux防火墙Iptables时有点迷茫,不知道从什么地方下手,本文将告诉那些菜鸟如何去实现快速Linux防火墙的安装和配置及用法。

2011-03-17 10:58:55

Linux防火墙Iptables入门
LinuxIptables防火墙使用
Linux下Iptables防火墙的使用:Linux提供了一个非常优秀的防火墙工具iptables,它完全免费、功能强大、使用灵活,可以对流入和流出的信息进行细化控制。那么,如何在Linux下Iptables使用防火墙?

2011-03-15 15:47:26

LinuxIptables防火墙
关于Linux防火墙iptables介绍
在我们应用电脑时经常会看到计算机的防火墙,如果你应用的是Linux操作系统,你对Linux防火墙了解么?本文为你讲解Linux防火墙iptables的知识,希望你能熟练掌握Linux防火墙iptables的知识。

2010-01-07 14:12:11

Linux防火墙
Linux防火墙:关于iptablesfirewalld那些事
以下是如何使用iptables和firewalld工具来管理Linux防火墙规则。防火墙是一组规则。当数据包进出受保护的网络区域时,进出内容(特别是关于其来源、目标和使用的协议等信息)会根据防火墙规则进行检测,以确定是否允许其通过。

2018-10-09 09:00:02

Linux防火墙IPtables设置与用法
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文为大家讲下Linux防火墙的IPtables设置与用法,供大家参考。

2011-03-15 17:25:38

Linux防火墙(Iptables)开启与关闭
Linux防火墙(Iptables)的开启与关闭:iptables是Linux内核集成的IP信息包过滤系统,如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux上更好地控制IP信息包过滤和防火墙配置。本文讲述的是Linux防火墙(Iptables)的开启与关闭。

2011-03-15 09:10:42

Linux防火墙Iptables
Fedora vsFTPd防火墙及SELINUX关系
FedoravsFTPd出于安全考虑,是不准让ftp用户的家目录的权限是完全没有限制的,您可以去读一下FedoravsFTPd的文档就明白的了;否则也不能称为最安全的FTP服务器了,对不对?

2010-02-24 14:02:24

Fedora vsFT
Iptables防火墙配置详解
Iptables防火墙配置详解:iptables是基于Linux内核的防火墙,iptables的功能比较强大。本文详细介绍了iptables防火墙、iptables下的参数、iptables配置实例。

2011-03-15 15:47:15

Iptables防火墙
防火墙加web应用防火墙解决赵明问题
只要有网络的地方就会有防火墙,但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断,而WAF则深入到应用层,对所有应用信息进行过滤,这是二者的本质区别。

2010-05-24 17:49:56

关于Linux防火墙'iptables'面试问答
NishitaAgarwal是Tecmint的用户,她将分享关于她刚刚经历的一家公司(印度的一家私人公司Pune)的面试经验。在面试中她被问及许多不同的问题,但她是iptables方面的专家,因此她想分享这些关于iptables的问题和相应的答案给那些以后可能会进行相关面试的人。

2015-08-04 13:50:35

Linux防火墙iptables
Linux下使用Iptables构建静态防火墙
Linux下使用Iptables构建静态防火墙:防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它可以增强机构内部网络的安全性。本文讲述的是如何Linux下使用Iptables构建静态防火墙,介绍了如何建立静态防火墙来保护计算机。

2011-03-15 17:12:11

使用netfilter/iptables构建防火墙
iptables是Linux内核集成的IP信息包过滤系统,他可以更好地控制、过滤IP信息包。本文讲述的是如何使用配置iptables构建防火墙。

2011-03-15 09:10:43

iptables防火墙
动态iptables防火墙之dynfw
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统.本文为大家介绍一种iptables防火墙工具:dynfw

2011-03-15 17:38:24

如何暂时禁用iptables防火墙
了解如何在Linux中暂时禁用iptables防火墙来进行故障排除。还要学习如何保存策略以及如何在启用防火墙时恢复它们。

2018-07-02 09:18:11

Linuxiptables防火墙
CentOS下配置iptables防火墙
CentOS(CommunityENTerpriseOperatingSystem)是Linux发行版之一,当我们使用CentOS时,我建议大家配置一个iptables,iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统.非常好用。下面我教大家在CentOS下配置iptables防火墙。

2011-03-16 12:46:29

CentOSiptables防火墙
关掉Iptables防火墙相关命令
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。上篇文章讲到如何关闭Iptables,本文为大家介绍下如何关掉Iptables防火墙。

2011-03-16 15:58:40

Iptables防火墙
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服