FTP 协议 基于 Netfilter Conntrack 的 动态端口 开放

最新推荐文章于 2023-12-27 18:27:22 发布
最新推荐文章于 2023-12-27 18:27:22 发布
阅读量2.5k 收藏 10
点赞数 1
分类专栏: Ubuntu学习之旅 文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/And_ZJ/article/details/102569118
版权

文章目录


由于 防火墙的默认策略 应该是DROP,对于像 FTP 这种在被动模式下,需要新开端口建立数据通道的协议而言,防火墙不能够主动的开辟相关的端口,也就在默认DROP情况下,FTP的数据端口不能通信,就会出现能登录成功,但获取不到目录的情况。关于 FTP 的介绍,可参考这篇 帖子

在 Linux 中,Netfilter 自带一个 conntrack 模块,于是就先以 ftp 协议为例研究了一下。其主要原理是,监控相应端口的流量,尝试获取到含有动态端口的数据包,然后,将相应端口的数据包标记成RELATED的数据(猜测是这样),因而,使其实现通信。

实现 ftp 动态端口的模块 文件是 net/netfilter/nf_conntrack_ftp.c,include/linux/netfilter/nf_conntrack_ftp.h,include/uapi/linux/netfilter/nf_conntrack_ftp.h,net/netfilter/nf_nat_ftp.c,还有一个 net/netfilter/ip_vs_ftp.c 文件暂时没看懂干啥的。这些文件均来自于 linux 内核文件。在 Ubuntu 18.04 系统中,以 apt-get install linux-source-5.0.0 的方式获取。

测试系统 Ubuntu 18.04,内核版本:5.0.0-31-generic,iptables 版本:1.6.1

nf_conntrack_ftp 模块加载

首先,了解如何开启linux系统自带的 ftp 协议的动态端口模块。

  1. 准备ftp客户端和服务器,linux下可使用vsftpd作为ftp服务器,相关安装方法,可参考这篇帖子。windows下的ftp客户端,可使用WinScp这个软件。
  2. 设置系统对conntrack模块的支持
    vim /etc/sysctl.conf
    添加一行:
    net.netfilter.nf_conntrack_helper=1
    然后使用sysctl -p使其生效。
    主要是新版系统需要加这个一句,旧版系统不需要,旧版似乎是默认开启的,此部分可参考这个文章
  3. 加载 nf_conntrack_ftp 模块
    modprobe nf_conntrack
modprobe nf_conntrack_ftp
  4. iptables 测试规则(此处仅是ipv4的测试规则,ipv6需要用到ip6tables)
    iptables -F # 清空规则
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP # FORWARD链规则默认DROP
iptables -A FORWARD -p tcp -m state --state NEW --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# 按照对上面那篇文章的理解,应该是用下面这个规则的,
# 但是,测试发现,只用下面这个反而通信不了,用上面那句规则,模块是会工作的。有点迷,可能没理解好。
# iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -m helper --helper opc -p tcp -j ACCEPT
    此外,还可能需要要一条这样的规则
    iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp

注意:
(1)必须要用-D选项删除上面这条规则后,nf_conntrack_ftp模块才能被卸载,否则卸载时会提示被使用。
(2)应使用 iptables -t raw-nL 查看这条规则的配置。
此处在 FORWARD 链上测试,也可自行改成INPUT和OUTPUT链,Ubuntu 18.04 使用 bridge_utils 配置网桥后,需要额外加载模块,FOWWARD 链规则才生效,相关操作可见这篇帖子
5. 开启 ftp 服务器后,使用 winscp 客户端对其进行访问测试。
默认情况下,winscp 是用 被动模式通信的,被动模式的确需要动态端口开放这这一策略。
不过首先要明确一点,防火墙上做动态端口开放,显然要求协议是明文的,加密是不行的,加密就没法从数据包里获得地址和动态端口信息了(除非知道秘钥,并且重写模块)。所以,连接设置如下:
在这里插入图片描述
如果选用主动模式通信,可点击上面界面中的“高级”,然后进入“连接”,取消“被动模式”的选中即可。主动模式,似乎只需要再开放20端口即可,不用conntrack,当然这和防火墙策略有关,也许不想实时开着20端口呢。
在这里插入图片描述
然后,连接就能读取成功,去除模块,或者减少iptables的放行规则,将无法通信。

nf_conntrack_ftp 模块粗读

今天太晚了,先不写了。

include/uapi/linux/netfilter/nf_conntrack_ftp.h

这个文件主要是定义了FTP几种模式:

/* This enum is exposed to userspace */
enum nf_ct_ftp_type {
   
	/* PORT command from client */
	NF_CT_FTP_PORT,
	/* PASV response from server */
	NF_CT_FTP_PASV,
	/* EPRT command from client */
	NF_CT_FTP_EPRT,
	/* EPSV response from server */
	NF_CT_FTP_EPSV,
};

上面两个是ipv4下面的主动和被动模式,下面两个则是ipv6下面的主动和被动模式

include/linux/netfilter/nf_conntrack_ftp.h

#define FTP_PORT	21

#define NF_CT_FTP_SEQ_PICKUP	(1 << 0)

#define NUM_SEQ_TO_REMEMBER 2
/* This structure exists only once per master */
struct nf_ct_ftp_master {
   
	/* Valid seq positions for cmd matching after newline */
	u_int32_t seq_aft_nl[IP_CT_DIR_MAX][NUM_SEQ_TO_REMEMBER];
	/* 0 means seq_match_aft_nl not set */
	u_int16_t seq_aft_nl_num[IP_CT_DIR_MAX];
	/* pickup sequence tracking, useful for conntrackd */
	u_int16_t flags[IP_CT_DIR_MAX];
};

没太懂这里的,但是能看出来时用来存储序列号的,就是conntrack时,要校验并更新数据流的序列号。如果序列号对不上,并不会放行这个包。

net/netfilter/nf_conntrack_ftp.c

#define MAX_PORTS 8
static u_int16_t ports[MAX_PORTS];
static unsigned int ports_c;
module_param_array(ports, ushort, &ports_c, 0400);

static bool loose;
module_param(loose, bool, 0600);

首先限制了最大监听的端口数量,不超过8个ftp服务器的端口。
module_param 这个貌似是可以在加载模块是传递参数,0400这个表明权限,但是不太懂这个loose变量到底是什么啥意思,修复的那个bug代表啥含义。

static int try_rfc959(const char *, size_t, struct nf_conntrack_man *,
		      char, unsigned int *);
static int try_rfc1123(const char *, size_t, struct nf_conntrack_man *,
		       char, unsigned int *);
static int try_eprt(const char *, size_t, struct nf_conntrack_man *,
		    char, unsigned int *);
static int try_epsv_response(const char *, size_t, struct nf_conntrack_man *,
			     char, unsigned int *);
			     
static struct ftp_search {
   
	const char *pattern;
	size_t plen;
	char skip;
	char term;
	enum nf_ct_ftp_type ftptype;
	int (*getnum)(const char *, size_t, struct nf_conntrack_man *, char, unsigned int *);
} search[IP_CT_DIR_MAX][2];

这四个函数,就是尝试解析 ftp 数据包的,分别以那四种情况,去尝试解析出 动态端口。
然后含有个search结构体数据,里面包含了四种情况对应的解析方法,getnum指针就指向这几个函数。

/* Return 1 for match, 0 for accept, -1 for partial. */
static int find_pattern(const char *data, size_t dlen,
			const char *pattern, size_t plen,
			char skip, char term,
			unsigned int *numoff,
			unsigned int *numlen,
			struct nf_conntrack_man *cmd,
			int (*getnum)(const char *, size_t,
				      struct nf_c
最低0.47元/天 解锁文章
And_ZJ
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
部署到Linux系列教材 (十六)- FTP - 开放端口
MAGIC_LAN的博客
04-29 515
目前安全组规则是3个,分别是22,3389和ICMP协议。只有这两个端口号是不够用的,为了能够链接vsftpd服务器还需要开放21端口和 30000-30010端口端口范围: 30000/30010 表示从30000开始,到30010结束。既然用的是阿里云,那么我们就借助阿里云的安全组操作来实现端口开放效果。3389 是阿里云控制台链接用的端口,这里没有用到。端口范围: 21/21 表示从21开始,到21结束。要访问Linux端口,必须开通才行。步骤里,只开通了22和3389端口
netfilter连接跟踪(conntrack)详述
alittlefish1的博客
08-30 1万+
netfilter连接跟踪(conntrack)详述1 连接跟踪来龙去脉1.1 什么是连接跟踪1.2 为什么需要连接跟踪1.3 连接跟踪的应用场景2 内核中的连接跟踪2.1 netfilter连接跟踪框架2.2 重要函数和结构体2.3 连接跟踪流程2.4 连接跟踪ftp实例2.5 连接跟踪NAT流程3 扩展连接跟踪4 总结 1 连接跟踪来龙去脉 1.1 什么是连接跟踪 连接跟踪顾名思义是对网络连接跟踪,如果将网络比作 高速路 ,连接跟踪就像是高速路里的路上的检查站、摄像头一起的组合,可以记录下你在什么
linux内核netfilter之ip_conntrack模块的作用举例--ftp为例
热门推荐
Netfilter
06-24 1万+
<br />很多协议的控制信息在应用层数据中被包含,这些信息直接影响到了链路的建立,比如ftp协议就是这样,ftp分为port模式和pass模式,port模式中,起初client连接server的21端口,然后当需要传输data的时候,client发送一个控制包给server,包中包含client端开启的端口和自己的ip地址,server收到之后用自己的20端口去连接client控制包中建议的ip和端口,在这种情况下,如果client在nat后面使用私网地址,那么server将无法连接client,因此na
FTP主动模式与FTP被动模式所需的端口
MARY197011111的博客
07-23 5279
FTP仅基于TCP的服务,不支持UDP。 FTP使用2个端口,一个数据端口和一个命令端口/控制端口。这两个端口是21(命令端口)和20(数据端口)。但FTP工作方式的不同,数据端口并不总是20。这就是主动与被动FTP的最大不同之处。 (一)主动FTP(PORT)    主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的21命令端口。然后客户端开
使用FTP服务需要开放端口
weixin_33894640的博客
02-04 4053
和很多人一样,我本来也认为这不会成为一个问题,执行netstat -an命令查看当前网络连接情况,就可以知道FTP服务需要开放端口是21。可实际使用过后,才发现并不是那么简单。 使用IIS搭建一台FTP服务器,启用Windows防火墙,对外只开放TCP协议的21端口。使用命令行和IE浏览器分别访问FTP服务器,发现命令行可以访问,而IE浏览器无法访问。为什么呢?使用...
【部署到Linux】【FTP】3-8-开放端口
bug制造者
05-20 324
1.端口概念 要访问Linux端口,必须开通才行。 在购买ECS服务器-网络步骤里,只开通了22和3389端口。 22就是SecureCRT链接Linux服务器用的端口号。 3389 是阿里云控制台链接用的端口,这里没有用到。 只有这两个端口号是不够用的,为了能够链接vsftpd服务器还需要开放21端口和 30000-30010端口 2.安全组 既然用的是阿里云,那么我们就借助阿里云的安全组操作来实现端口开放效果。 登陆阿里云后,按照如下顺序选择:云服务器ECS->安全组->配置规则 3
基于Netfilter框架的防火墙设计与实现
05-17
【作品名称】:基于Netfilter框架的防火墙设计与实现 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:这是一外个网络...
论文研究-基于Netfilter的高效端口扫描技术的研究 .pdf
08-15
基于Netfilter的高效端口扫描技术的研究,林俊杰,庄卫华,本文在linux操作系统上分别实现了基于Netfilter的数据包捕获和链路层捕获这两种不同捕获技术的端口扫描器,并对它们进行比较分析,实�
基于eBPF/XDP实现conntrack功能
06-19
Linux conntrack 是 基于 netfilter 实现的,如图所示,分别在 PREROUTING, POSTROUTING 位置前 和后对网络报文进行跟踪;但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样...
Linux下基于Netfilter动态包过滤防火墙的设计与实现.pdf
09-06
Linux下基于Netfilter动态包过滤防火墙的设计与实现.pdf
基于netfilter的防火墙系统 + 源代码 + 详细文档
最新发布
06-06
基于netfilter的防火墙系统 + 源代码 + 详细文档
iptables 设置 h323 动态开放端口
Andrew Yang's Note
05-06 2326
iptables 设置 h323 动态开放端口 1. 插入 h323 模块 为了支持 h323 协议,内核需要插入 nf_conntrack_h323, nf_nat_h323 模块。 modprobe nf_conntrack_h323 modprobe nf_nat_h323 2. 配置 iptables 规则 h323 使用 1719, 1720 端口。但主要是使用 1720 端口。 ...
FTP主动连接、被动连接、连接端口的分配与使用、误区总结
干就完了
04-20 3502
在一个网络工程师考试群中无意中看到的,好像有一道题叫什么ftp客户端可以使用哪个端口,有4个答案,20,21,80,4155,其中肯定是4155了,因为20、21都是ftp服务器使用的,80是web服务器使用的。再者从另一方面说,客户端使用的端口都是动态向系统申请的,一般都大于1024。后来记得我说了句主动连接时服务器使用的是20号端口与客户端建立连接,有人就开始反驳了说是不管主动还是被动端口服务器的数据连接端口都大于1024,很好笑。今天也就顺便总结一下吧,google了一下,发现网上各种解释都有,错误的
Linux内核支持ftp,linux内核netfilter之ip_conntrack模块-FTP模式
weixin_39612896的博客
04-29 786
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。Port模式:ftp server:tcp 21 server:tcp 20 ------>client:dynamicPasv模式:ftp server:tcp 21 server:tcp dynamic PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建...
FTP ALG in Netfilter(Part 3 - 实例分析)
chengfangang的专栏
03-26 1809
http://blogt.chinaunix.net/space.php?uid=23227798&do=blog&id=2485817
linux2.4中netfilter_nat_alg机制分析--以FTP流程为例,分析NAT和ALG
achejq的专栏
02-13 1265
https://www.cnblogs.com/lagujw/p/4585156.html 以FTP流程为例,分析NAT和ALG 网络环境: 192.168.1.2-----192.168.1.1 NAT 200.100.100.1------202.100.100.2   阶段一: src/dst/sport/dport:192.168.1.2/202.100.100.2/3333/...
关于vsftp被动模式加载ip_conntrack_ftp模块问题
flw521521的专栏
02-15 962
最近在看余洪春老师的《构建高可用Linux服务器》,在看到vsftp那章节时,发现书中关于ftp被动模式的内容跟自己的理解有一些出入,就自己顺带做了把实验,只不过iptables命令是自己手动敲的,没用到书中的脚本,我的iptables如下 写道 iptables -P INPUT DROP iptables -P OUTPUT\FORWARD ACCEPT iptables -A IN...
[转]ip_conntrack_ftp.c的分析
leon
02-08 1388
由于nat表需要ip conntrack模块支持,因此在针对FTP数据连接的nat动作也需要conntrack支持。主要流程如下:netfilter hook将FTP控制连接加入到conntrack pool中,每一个在该conntrack上的数据报会被送至help函数(ip_conntrack_ftp.c),该函数由 ip_conntrack_helper_unregister()注
搭建FTP服务器与计算机端口介绍
djssubddbj的博客
12-27 2989
FTP(File Transfer Protocol)是一种用于在计算机网络上进行文件传输的协议。它允许用户通过客户端与服务器进行通信,从服务器下载文件或将文件上传到服务器。FTP使用客户端-服务器模型。用户使用FTP客户端软件连接到FTP服务器,并通过命令发送和接收文件。FTP客户端可以是一个独立的应用程序或集成在操作系统中。FTP使用两个不同的通道进行通信:控制通道和数据通道。控制通道用于发送命令和接收响应,而数据通道用于传输实际的文件数据。
基于Netfilter从零开始写一个Linux防火墙
03-04
好的,我会用中文回答您的问题。 NetfilterLinux内核中的一个框架,用于在数据包传输时进行处理。它可以被用来实现防火墙、网络地址转换(NAT)等功能。下面是一个基于NetfilterLinux防火墙的示例: 1. 允许已建立的连接通过: ``` iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` 2. 允许本机向外发起的连接通过: ``` iptables -A OUTPUT -p tcp -dport 80 -j ACCEPT ``` 3. 阻止来自指定IP地址的数据包: ``` iptables -A INPUT -s 192.168.1.1 -j DROP ``` 4. 允许本机的所有数据包通过: ``` iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ``` 以上是一个简单的基于NetfilterLinux防火墙示例。您可以根据需要进行调整和修改。注意,使用防火墙时要小心,以免误阻止或允许不必要的数据包,导致网络故障或安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值