ip_conntrack_ftp ftp设置(待解决)

最新推荐文章于 2024-04-08 13:51:59 发布
最新推荐文章于 2024-04-08 13:51:59 发布
阅读量433 收藏
点赞数
分类专栏: iptables 文章标签: J# Blog
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。

Port模式:ftp server:tcp 21 <------client:dynamic ftp server:tcp 20 ------>client:dynamic

Pasv模式:ftp server:tcp 21 <----client:dynamic ftp server:tcp dynamic <----client:dynamic
PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户 端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条 数据链路来传送数据。
PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务 器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来 传送数据。

本文用到ip_conntrack_ftp模块

对modprobe命令不了解的可以先看看我的这篇博客:[url=http://saplingidea.iteye.com/blog/484765]modprobe命令[/url]

iptables模块关系:
1、modprobe ip_tables
当 iptables 对 filter、nat、mangle 任意一个表进行操作的时候,会自动加载 ip_tables 模块
另外,iptable_filter、iptable_nat、iptable_mangle 模块也会自动加载。

2、modprobe ip_conntrack
ip_conntrack 是状态检测机制,state 模块要用到
当 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 时,ip_conntrack 自动加载。

3、modprobe ip_conntrack_ftp
ip_conntrack_ftp 是本机做 FTP 时用的。
ip_nat_ftp 是通过本机的 FTP 需要用到的(若你的系统不需要路由转发,没必要用这个)
当 modprobe ip_nat_ftp 时,系统自动会加载 ip_conntrack_ftp 模块。

具体设置
加载模块(ports=21可以不写,如果用其他端口时要加上):
[quote]sudo modprobe ip_conntrack_ftp ports=21[/quote]
iptables设置(我的默认DROP所有,只开启要用的端口): 
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT  
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT


[color=red]我用pure-ftp做试验。
问题:客户端连接服务器只能通过Port模式连接,因为我默认DROP了所有高端口,这一来用ip_conntrack_ftp的意义就没了。我是想只开21和20端口对外提供主动和被动模式ftp服务。应该用nat能解决?网上有加载ip_nat_ftp模块和ip_conntrack_ftp的,不太懂怎么用,有谁知道怎么解决?指点一下,感激不尽![/color]

具体情况如下:
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:10080 0.0.0.0:* LISTEN
tcp 0 0 10.3.37.110:41505 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 10.3.37.110:49861 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 10.3.37.110:26218 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 10.3.37.110:38605 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 10.3.37.110:44792 0.0.0.0:* LISTEN #Pasv模式自动协商的数据端口
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 1 0 10.3.37.110:21 10.5.28.185:2436 CLOSE_WAIT
tcp 0 0 10.3.37.110:21 10.5.28.185:2439 ESTABLISHED #正在连接的
tcp 1 0 10.3.37.110:21 10.5.28.185:2412 CLOSE_WAIT #客户端关闭而不能正常关闭的连接
tcp 1 0 10.3.37.110:21 10.5.28.185:2403 CLOSE_WAIT #客户端关闭而不能正常关闭的连接
tcp 1 0 10.3.37.110:21 10.5.28.185:2419 CLOSE_WAIT #客户端关闭而不能正常关闭的连接
tcp 1 0 10.3.37.110:21 10.5.28.185:2423 CLOSE_WAIT #客户端关闭而不能正常关闭的连接

iptables设置: 
# Generated by iptables-save v1.3.5 on Mon Oct 12 00:05:43 2009
*filter
:INPUT DROP [2364:220265]
:FORWARD DROP [0:0]
:OUTPUT DROP [181:8260]
-A INPUT -i lo -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p udp -m udp --sport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 10080 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT 
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 10080 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 25 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT 
COMMIT
# Completed on Mon Oct 12 00:05:43 2009
sapling_lz1130
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核支持ftp,linux内核netfilter之ip_conntrack模块-FTP模式
weixin_39612896的博客
04-29 795
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。Port模式:ftp server:tcp 21 server:tcp 20 ------>client:dynamicPasv模式:ftp server:tcp 21 server:tcp dynamic PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建...
linux内核模块找到指定IP的,linux内核netfilter之ip_conntrack模块的作用举例--ftp为例...
weixin_33961553的博客
05-08 236
很多协议的控制信息在应用层数据中被包含,这些信息直接影响到了链路的建立,比如ftp协议就是这样,ftp分为port模式和pass模式,port模式中,起初client连接server的21端口,然后当需要传输data的时候,client发送一个控制包给server,包中包含client端开启的端口和自己的ip地址,server收到之后用自己的20端口去连接client控制包中建议的ip和端口,在这...
ip_conntrack_ftp.c的分析
cybertan的专栏
10-12 2901
由于nat表需要ip conntrack模块支持,因此在针对FTP数据连接的nat动作也需要conntrack支持。主要流程如下:netfilter hook将FTP控制连接加入到conntrack pool中,每一个在该conntrack上的数据报会被送至help函数(ip_conntrack_ftp.c),该函数由ip_conntrack_helper_unregister()注册成为该con
linux内核netfilter之ip_conntrack模块的作用举例--ftp为例
Netfilter
06-24 1万+
<br />很多协议的控制信息在应用层数据中被包含,这些信息直接影响到了链路的建立,比如ftp协议就是这样,ftp分为port模式和pass模式,port模式中,起初client连接server的21端口,然后当需要传输data的时候,client发送一个控制包给server,包中包含client端开启的端口和自己的ip地址,server收到之后用自己的20端口去连接client控制包中建议的ip和端口,在这种情况下,如果client在nat后面使用私网地址,那么server将无法连接client,因此na
【问题处理】银河麒麟操作系统实例分享,ipelbats转发端口访问ftp目录空白问题处理
银河麒麟操作系统的博客
04-08 1182
本文将详细分享在银河麒麟操作系统上,如何处理ipelbats转发端口访问ftp目录空白问题,希望可以帮助遇到类似情况的小伙伴们,内容仅供参考。
linux命令iptables,【linux命令】打开关闭防火墙iptables(示例代码)
weixin_34677764的博客
04-28 556
防火墙关闭关闭防火墙(linux)经过自己的实验,发现在ubuntu中service iptables 无法使用。同时,在init.d中并没有iptables的程序,iptables程序在/sbin下。找到了原因ubuntu中启动及关闭iptables在ubuntu中由于不存在 /etc/init.d/iptales文件,所以无法使用service等命令来启动iptables,需要用modprob...
Linux防火墙iptables学习笔记(四)iptables实现NAT
weixin_30715523的博客
07-02 927
1.概述1.1 什么是NAT在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改, 更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的i...
iptables使用详解(centos7)
u014644574的博客
04-11 9060
iptables使用详解(centos7)
modprobe 重启后失效,设置永久有效
闹着玩儿的博客
12-29 4292
使用modprobe加载模块很方便,比如: #查看已经加载模块,发现我们测试的模块并没有加载 [root@k8s-node02 ~]# lsmod |grep -E "ip_tables|iptable_filter" #尝试手动加载 [root@k8s-node02 ~]# modprobe ip_tables [root@k8s-node02 ~]# modprobe iptable_filter # 加载之后可以看到已经加载的模块 [root@k8s-node02 ~]# lsmod |gre
网安技术与应用(4)——配置iptables防御常见攻击
Netceor的博客
04-28 2610
一 实验目的 掌握如何设计防火墙的高级过滤策略以抵御各种类型的攻击。 二 实验内容 防止端口扫描; 防止 ping 攻击; 防止 ip 碎片攻击; 丢弃坏的 TCP包; 防止 SYN攻击。 三 实验原理 参见 网安技术与应用(3)——Linux防火墙iptables的使用 四 实验条件 1、仪器设备条件:PC 及其网络环境; 2、物质条件:Linux(kernel 2.6包含 Iptables); 3、相关文献资料:教学网站所提供的电子文档 五 实验过程 1、默认规则 # 启动防火墙 modprobe
【Linux】iptables的内核模块问题大坑!
热门推荐
zclinux的博客
11-23 3万+
系统环境 CentOS 6.5 今天本来可以平静的度过一天,正品味着下午茶的美好,突然接到防火墙iptables的报警。 进入到服务器中,执行下面的命令查看,结果报错 /etc/init.d/iptables restart iptables: Applying firewall rules: iptables-restore v1.4.7: iptables-restore: un......
vsftpd 读取目录列表失败,使用“modprobe ip_nat_ftp”仍无效的解决方法
qq_42944840的博客
08-29 4002
在CentOS 7下配置vsftpd时遇到了一个问题:端口都正常开放了,并且vsftpd服务也是正常运行。但是使用FileZilla来连接时,发生了如下错误: 状态: 已登录 状态: 读取目录列表... 命令: PWD 响应: 257 "/home/xxxxx" is the current directory 命令: TYPE I 响应: 200 Switching to Binary mode. 命令: PASV 响应: 227 Entering Passive Mode (192,168,x,xxx,
linux配置———iptables命令
夏天
08-29 998
yiqian iptables 是Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
Linux系统--配置FTP服务
lufylegend_fans的博客
07-17 231
Linux系统--配置FTP服务写在前面准备工作安装操作系统配置网络写在结尾 写在前面 同学们我终于又更新文章啦,实在是最近项目太忙,之前在做硬件测试,前几天主动揽下了配置四台服务器的活,让我明白了什么叫不会作就不会死,真的是从0开始配服务器,我之前除了看见过一点点的Linux命令,我是半点不懂,说实话,如果真的是我一个人的话,我可能要配一个月,但还好部门老大哥对我帮助挺大的,真的挺感谢这位老大哥的,把自己配置服务的笔记借我观摩了一番。所以接下来更新的文章我会教同学们一些配置服务的相关知识点和我自己的一些见
linux2.4中netfilter_nat_alg机制分析--以FTP流程为例,分析NAT和ALG
achejq的专栏
02-13 1272
https://www.cnblogs.com/lagujw/p/4585156.html 以FTP流程为例,分析NAT和ALG 网络环境: 192.168.1.2-----192.168.1.1 NAT 200.100.100.1------202.100.100.2   阶段一: src/dst/sport/dport:192.168.1.2/202.100.100.2/3333/...
iptables的基础学习笔记
迷逝
04-28 1835
iptables的基础学习 前言 在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptables。 iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 iptables 简介 什么是iptables? iptables 是 Linu
使用NAT打造FTP服务新法
认真
01-22 1237
 FTP(File Transfer Protocol,文件传输协议)是Internet的传统服务之一。FTP使用户能在两个联网的计算机之间传输文件,是Internet传递文件最主要的方法。除此之外,FTP还提供登录、目录查询、文件操作及其它会话控制功能。在系统中FTP服务使用23端口进行通信,在Window、Linux系统中都可以设置FTP服务。 NAT(Network Address
iptable详解
weixin_34303897的博客
11-23 244
查看iptables状态-重启 iptables 所在目录 /etc/sysconfig/iptables service iptables status 查看iptables状态 service iptables restart iptables服务重启 service iptables stop iptables服务禁用 启动iptables ...
nf_conntrack
最新发布
04-16
nf_conntrack是Linux内核中的一个模块,用于跟踪网络连接的状态。...4. NAT(Network Address Translation)支持:nf_conntrack可以与NAT功能结合使用,实现IP地址和端口的转换,用于解决IP地址不足的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值