linux 防火墙ftp

最新推荐文章于 2024-06-18 00:09:39 发布
最新推荐文章于 2024-06-18 00:09:39 发布
阅读量5.6k 收藏 4
点赞数
文章标签: 防火墙 linux ftp服务器 output tcp input
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leshjmail/article/details/1936965
版权
FTP协议的状态检测

  上面,我们比较详细地介绍了iptables的态检测机制。现在,我们以FTP状态检测为例介绍如何使用iptables进行连接状态检测。

  首先,你需要加载ip_conntrack_ftp模块。使用如下规则就可以允许建立FTP控制连接(这里没有考虑IMCP问题):
  • iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLESED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISED -j ACCEPT
  除了控制连接之外,FTP协议还需要一个数据通道,不过,数据连接可以通过主动和被动两种模式建立,我们需要分别讨论。

3.1.主动模式

  在主动模式下,客户程序在控制通道上,使用PORT命令告诉FTP服务器自己这边的数据传输端口,然后FTP从20端口向这个端口发起一个连接。连接建立后,服务器端和客户端就可以使用这个连接传输数据了,例如:传诵的文件、ls等命令的结果等。因此,在主动模式下FTP数据传输通道是反向建立的,它从FTP服务器端向客户端发起。

  在主动模式下,客户端使用的数据传输端口是不固定的,因此我们需要在规则中使用端口范围。由于客户端使用的端口都是大于1024的,这并不会降低系统的安全性。

  在iptables中,有一个专门跟踪FTP状态的模块--ip_conntrack_ftp。这个模块能够识别出PORT命令,并从中提取端口号。这样,FTP数据传输连接就被归入RELATED状态,它和向外的FTP控制连接相关,因此我们不需要在INPUT链中使用NEW状态。下面的规则可以实现我们的意图:
  • iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISED -j ACCEPT

3.2.被动模式

  和主动模式相反,在被动模式下,指定连接端口的PORT命令是服务器端发出的。FTP服务器通过PORT命令告诉客户端自己使用的FTP数据传输端口,然后等待客户端建立数据传输连接。在被动模式下,建立数据传输连接的方向和建立控制连接的方向是相同的。因此,被动模式具有比主动模式更好的安全性。

  由于ip_conntrack_ftp模块能够从PORT命令提取端口,因此我们在OUTPUT链中也不必使用NEW状态,下面的规则可以实现对被动模式下的FTP状态检测:

  • iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
  综合以上的分析,我们可以得到FTP连接的状态检测规则,对于主动模式的FTP,需要下面的iptables规则:
  • iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLESED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISED -j ACCEPT
    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISED -j ACCEPT
  对于被动模式的FTP连接,需要使用如下iptables规则
  • iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLESED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISED -j ACCEPT
    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
 
leshjmail
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux网络之FTP服务概述及实验图解
zmac111的博客
04-27 371
LinuxFTP服务概述及实验图解一、FTP文件传输概述二、实验操作 一、FTP文件传输概述 (1)FTP服务是用来传输文件的协议 (2)FTP服务器默认使用TCP协议的20、21端口于客户端进行通信 20端口用于建立数据连接,并传输文件数据 21端口用于建立控制连接,并传输FTP控制命令 (3)FTP数据连接分为主动模式和被动模式 主动模式:服务器主动发起数据连接 被动模式:服务器被动等待数据连接 二、实验操作 (1) (2) (3) (4) ...
麒麟搭建ftp服务器实现文件共享,麒麟系统安装ftp
weixin_35980523的博客
08-13 8873
第一步:麒麟系统安装 VSFTPD 服务器首先,我们需要更新系统安装包列表,然后像下面这样安装 VSFTPD 二进制包:$ sudo apt-get update$ sudo apt-get install vsftpd一旦安装完成,初始情况下服务被禁用。因此,我们需要手动开启服务,同时,启动它使得在下次开机时能够自动开启服务:$ sudo systemctl start vsftpd$ sud...
linux防火墙开放ftp端口,CentOS 配置防火墙操作实例(启、停、开、闭端口)CentOS Linux-FTP/对外开放端口(接口)TomCat相关...
weixin_31783001的博客
05-11 739
CentOS 配置防火墙操作实例(启、停、开、闭端口):注:防火墙的基本操作命令:查询防火墙状态:[root@localhost ~]# service iptables status停止防火墙:[root@localhost ~]# service iptables stop 启动防火墙:[root@localhost ~]# service iptables start 重启防火墙...
Linux系统-FTP服务配置
最新发布
weixin_67092935的博客
06-18 1852
可以使用 firewall-cmd --permanent --add-service=ftp 命令将FTP服务添加到防火墙允许的服务列表,并使用 firewall-cmd --reload 命令重新加载防火墙配置。此外,还可以编辑 /etc/sysconfig/selinux 文件,将SELinux设置为禁用模式(如果需要的话),以避免安全策略阻止FTP服务的正常运行。2. 传输过程缺少加密:FTP协议传输的数据不会进行加密处理,容易被拦截并窃取,因此对于重要数据的传输不太适用;
linux设置防火墙允许ftp通过,vsftp允许通过iptables防火墙策略可以ping别的机器
weixin_39749243的博客
05-08 517
vsftp允许通过iptables防火墙策略可以ping别的机器开启防火墙[root@localhost ~]# service iptables restartiptables:将链设置为政策 ACCEPT:filter [确定]iptables:清除防火墙规则: [确定]iptables:正在...
linux-FTP服务常用命令及测试
weixin_34223655的博客
03-30 889
一、vsftpd服务的安装,启动及关闭1、安装vsftpd[root@rusky bdump]# yum install vsftpd --必须配置yum源才能使用yum命令来安装vsftpd,或者挂载光盘,找到Packages目录下的vsftpd包,使用rpm命令安装 ……Installed: vsftpd.x86_64 0:2.0.5-24.el5 ...
开启LINUX防火墙后,FTP PASV不能正常登录问题
08-10
绍开启LINUX防火墙后,FTP PASV不能正常登录问题
linux ftp服务器防火墙设置,【许望】linux(RHEL) 下 FTP(vsftpd) 服务器的防火墙配置...
weixin_32006655的博客
04-29 1308
linux(RHEL) 下 FTP(vsftpd) 服务器的防火墙配置FTP服务器在与客户端通讯的过程会用到两个端口,一个是控制端口,通常是21/tcp,一个是数据端口,运行在主动模式下的FTP服务器的数据端口一般是20/tcp,运行在被动模式下的FTP服务器的数据端口通常是一个随机端口/tcp。现今普遍的FTP服务器都是跑在被动服务器模式下(原因这儿不做解释),这就为服务器的防火墙配置造成了问...
Linux离线安装ftp安装包
07-06
7. **防火墙设置**:确保你的Linux防火墙(如`firewalld`或`iptables`)允许FTP流量。通常需要开放TCP端口20(数据连接)和21(控制连接),以及可能的端口1024-5000(用于 Passive FTP)。 8. **测试FTP服务器**:...
Linux 防火墙 iptables
weixin_67033761的博客
06-04 967
1
Linux防火墙配置
weixin_46544151的博客
04-15 2997
一、实验目的及要求 1.不允许外网不经过防火墙与内网进行通信 2.允许内网用户通过防火墙访问外部HTTP、HTTPS服务器 3.允许内网用户通过防火墙访问外部FTP服务器 二、实验环境 3台Ubuntu虚拟机 Ubuntu 64位:内网(服务器) Ubuntu 2 :网关(防火墙) Ubuntu 3:外网 注:Ubuntu的可视化操作较为便利,这里使用Ubuntu易于进行网段和ip地址的设置。 三、实验原理 1.防火墙的概念 防火墙(firewall)是位于内部网和...
linux常用的查看命令——防火墙为例
zhao__b的博客
03-31 4232
linux常用的查看命令——防火墙为例
Linux系统ftp服务设置
2301_78160271的博客
06-07 9914
FTP全称为File Transfer Protocol,是一种在计算机网络上常用的文件传输协议。FTP协议通过TCP连接传输文件,可以用于在不同的操作系统之间传输文件。在FTP服务,有两个角色:FTP服务器FTP客户端。FTP服务器是负责存储文件并对客户端用户进行认证和授权的主机,而FTP客户端则是用户使用的工具,可以通过FTP协议连接FTP服务器,上传或下载文件。一般情况下,FTP服务器通常放在远程主机上,用户需要通过FTP客户端软件连接到该主机才能进行文件传输。
linux防火墙FTP配置
dqcoffee的博客
05-22 9165
Linux系统在当做网站服务器运行时,具有很高的效率和运行稳定性。windows系统下可以通过系统防火墙来限制外部计算机对服务器端口的访问,而Linux是通过iptables来允许或限制端口访问的。 本文讨论的使用情境是LNmp或LNmpA系统架构下的情况。 为了方便举例说明,飘易就直接拿来一段我的现有服务器上运行的防火墙iptables内容: #Firewal...
Linux防火墙端口配置和ftp修改端口
葬爱家族王富贵
12-20 7355
荆轲刺秦王 Linux系统在当做网站服务器运行时,具有很高的效率和运行稳定性。windows系统下可以通过系统防火墙来限制外部计算机对服务器端口的访问,而Linux是通过iptables来允许或限制端口访问的。 一:命令:vi /etc/sysconfig/iptables [root@admin ~]# vi /etc/sysconfig/iptables # Firewall
CentOS (Linux) 上开启FTP服务并配置用户
zouyongjin的专栏
10-26 2927
原文链接: http://www.centos.bz/2011/03/centos-install-vsftpd-ftp-server/ vsftpd作为FTP服务器,在Linux系统是非常常用的。下面我们介绍如何在centos系统上安装vsftp。 什么是vsftpd vsftpd是一款在Linux发行版最受推崇的FTP服务器程序。特点是小巧轻快,安全易
linux环境下搭建vsftpd环境防火墙配置等遇到的坑
一个编程小白的个人技术博客
03-12 2061
关于如何从头搭建就不介绍了,主要是楼主学习时候遇到的一些问题自己总结一些,如果有帮助到其他的人也是好的。1.配置之后有时候没有重启导致的配置没有生效,需要我们reboot一下。2.检查端口是不是正常通信,千万注意是不是自己代码coding的有错误,楼主就是sport一直达成了dport,折腾了好久才发现这个问题(主要是看电脑太长眼睛就迷糊了- -)。3.关于看不到设置的根目录的问题,请查看这个解释...
Linux FTP 服务器配置简单说明
思考
02-17 364
<br />一.  FTP 说明<br />     linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol. 还有一个是proftp(Profession ftp)。 我们这里也是简单的说明下vsftp的配置。<br /> vsftp提供3种远程的登录方式:<br /> (1)匿名登录方式<br />             就是不需要用户名,密码。就能登录到服务器电脑里面<br />(2)本地用户方式<br />            
iptbales 允许访问vsftp
weixin_30686845的博客
08-18 63
1、允许20 21 端口iptables -I INPUT -p tcp -m multiport --dport 20,21 -j ACCEPT 2、允许关联包通过iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 3、我们编辑vsftpd.conf 文件,在文件里边的最后面添加两行,并重启vsftpdpasv...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值