使用iptables将内网ftp服务映射到其他内网服务器上

最新推荐文章于 2022-03-30 08:48:53 发布
最新推荐文章于 2022-03-30 08:48:53 发布
阅读量211 收藏
点赞数
原文链接:http://blog.51cto.com/9237101/2327394
版权

使用iptables将内网ftp服务映射到其他内网服务器上
iptables一般的只需要关注两个表,一个是nat表,一个是filter表,其他表暂时用不到,然后nat表里有三个链,filter表里有三个链,总结两个表,五个链

常见封包流程:
使用iptables将内网ftp服务映射到其他内网服务器上
入站数据流向:数据包到达防火墙后首先被PREROUTING链处理(是否修改数据包地址等),然后进行路由选择(判断数据包发往何处),如果数据包的目标地址是防火墙本机(如:Internet用户访问网关的Web服务端口),那么内核将其传递给INPUT链进行处理(决定是否允许通过等)。

转发数据流向:来自外界的数据包到达防火墙后首先被PREROUTTING链处理,然后再进行路由选择;如果数据包的目标地址是其他的外部地址(如局域网用户通过网关访问QQ服务器),则内核将其传递给FORWARD链进行处理(允许转发,拦截,丢弃),最后交给POSTROUTING链(是否修改数据包的地址等)进行处理。

出站数据流向:防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网DNS服务时),首先被OUTPUT链处理,然后进行路由选择,再交给POSTROUTING链(是否修改数据包的地址等)进行处理。

下面实验下看看:
环境说明:vmware下两台虚拟机,虚拟机中的网关地址为192.168.255.2,宿主机的vm8网卡地址为192.168.255.1
192.168.255.129上搭建了ftp服务,被动模式,21为控制端口,1023至65535随机出现数据端口
192.168.255.131作为NAT服务器
目的将129的ftp服务其映射到192.168.255.131上的指定端口
准备工作,使129的网关地址为131
删除默认网关地址 : route delete default gw 网关ip(我这里是192.168.255.2)
新增默认网关地址: route add default gw 192.168.255.131

1.131要做的工作:去掉firewalld服务,关闭selinux,启用iptables服务,129无所谓,关闭firewalld和selinux就行了
systemctl stop firewald.service && sudo systemctl disable firewald.service
yum install iptables-services iptables-devel -y
systemctl enable iptables.service && sudo systemctl start iptables.service

2.开启131的网卡转发功能
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf && sysctl -p

3.131上设置允许255过来的网段进行地址伪装,也就是129到达之后,可以用131为源地址进行"外网”的访问,(必须要这条配置,没有这条配置将源129改为131,客户端收到包之后,直接将包丢弃)
iptables -t nat -A POSTROUTING -s 192.168.255.0/24 -j MASQUERADE

4.131上设置DNAT,将去往166端口的请求转发到129的21端口,131上可以不用开166端口,他自己会转发,理论上166端口的包到达pre链就直接转给了129的21端口,根本没有到达131自己的INPUT链,所以不需要放行131INPUT链的166端口
iptables -t nat -I PREROUTING -p tcp -d 192.168.255.131 --dport 166 -j DNAT --to 192.168.255.129:21

5.131上开启ftp内核模块追踪相关数据端口
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
lsmod | grep ftp 有东西表示成功

6.接下来访问测试看看?成功了
使用iptables将内网ftp服务映射到其他内网服务器上

7.通信详细流程(我想了好久,只有以下这种说法能说通)
第一个阶段:公网客户端1.3去往255.131:166,查找自身路由,将包发送给255.1,然后再由255.1转发给255.131:166,131发现PREROUTING链具有规则,于是将目的地址131:166转换成129:21端口(DNAT),经过FORWARD链(默认允许通过),经过POSTROUTING链,将源IP修改为192.168.255.131(SNAT)。发往129.
第二个阶段:129处理完封包请求,将包回传给131。此时源IP为192.168.255.129,目的IP为:192.168.255.131.
第三阶段:131上收到此包请求,经由PREROUTING链(没有匹配),发现目的IP是本机的,再交给INPUT链,再交给上层应用,发现有客户端正在访问该地址,于是将目的地址改为客户端IP,再经过NAT的OUTPUT链(允许通过),再经过filter表的OUTPUT链(通过),通过POSTROUTING链,将源IP192.168.255.129修改为192.168.255.131(SNAT),将包回传给255.1.最终到达客户端1.3

8.一些实验数据
A.我在131上配置PREROUTING链,宿主机上访问192.168.255.131:166,129上没有任何数据过来
使用iptables将内网ftp服务映射到其他内网服务器上

B.继续在131上增加配置POSTROUTING链,宿主机上再次访问,129上有数据了,这次我们加上wireshark一起看,131到达129上,但是129将数据返回给了131,认为源IP是255网段,POSTROUTING链生效,将源IP129修改为131,又返回给了255.1(这里宿主机和虚拟机是一个网段,即192.168.255.0/24,将客户端看成了192.168.255.1了,所以才会出现这种情况,而且最后还可以成功访问192.168.255.131:166)。
使用iptables将内网ftp服务映射到其他内网服务器上

使用iptables将内网ftp服务映射到其他内网服务器上
使用iptables将内网ftp服务映射到其他内网服务器上

转载于:https://blog.51cto.com/9237101/2327394

weixin_34161029
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables实现转发ftp的访问请求
05-29
iptables实现转发ftp的访问请求
iptables内网映射到公网地址
01-09
案例:在一组集群中,只有内网服务器需要走反代的公网出去。 内网某台服务器ip:192.168.142.82 反代的内网ip:192.168.142.90 1.内网服务器的网卡的网关设置成192.168.142.90 #cat ifcfg-enp2s0f1 TYPE=Ethernet ...
使用iptables映射ftp端口方法
weixin_34082789的博客
07-11 286
由于业务需要,又受公司公网IP不足的限制,所以好多不重要的服务都是使用的端口穿透的方法来访问,最近刚刚做好的一台测试服务器,开发人员要求要使用ftp,而且还是只会用图形界面的ftp工具,没办法,开发MM很和蔼的告诉我:赶快弄ftp,已经耽误我的工作进度了~~汗!!! 火速搭建好vsftpd,通过shell登录等等都没问题,接下来在我的pc上通过ftp工具连接的时...
使用iptables进行ftp流量转发
wcy147fea的博客
04-16 669
vsftpd服务器ip:192.168.214.10 转发服务器ip:192.168.214.15 在转发服务器上写入语句: Iptables –t nat -A PREROUTING -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.214.10:21 Iptables –t nat -A POSTROUTING -p tcp -m tcp --dport 20:21 -j MASQUERADE 随后继续在转发服务器上载入转发模块进行i
iptables端口转发访问ftp nat设置详解
weixin_33943347的博客
06-11 1151
FTP协议的特点就是数据流端口与控制流端口分离,这使得管理员在设置防火墙规则时,需要多考虑一些因素.同时由于FTP服务器本身的重要性和不安全性,许多管理员想将其置于防火墙机器后,这样一来就更麻烦了.通常是客户端能登录上服务器,但无法列出目录,无法传输数据等等,让许多新手管理员摸不清头脑,到论坛里撒分“跪求”解决办法.其实这并不是想像的那么难,看了本文后,你将明白这一切. ...
linux下使用iptables实现内网ftp端口映射
weixin_34066347的博客
12-23 633
有两台机器,其中一台A 有内网和外网,B机器只有内网。想达到的目的: 通过A机器的外网去访问B机器的ftp(21)环境:A机器外网IP为 123.234.12.22(eth1) 内网IP为 192.168.10.20 (eth0)B机器内网为 192.168.10.21实现方法:1. 让你的linux支持ftp的端口转发modprobe ip_nat_ftp ###加载...
如何在windows桌面使用ftp上传文件到linux服务器
09-15
总结,完成从Windows桌面通过FTP上传文件到Linux服务器的步骤包括:在Linux服务器上安装并配置FTP服务,解决SELinux权限问题,调整`vsftpd`配置,创建可写的FTP目录,并设置相应权限。这样,你就可以顺利地在两个...
Linux为FTP服务器添加iptables规则–案例分析
01-09
 由于开发提出需求,为他们搭建内部ftp服务器,搭建好后,提交给他们,测试可以正常使用。后来过了一段时间后,有无法登陆了。于是去ftp机上检查问题,ftp的配置文件没有改动,端口监听也正常。telnet也可以通。...
阿里云linux服务器使用iptables设置安全策略的方法
01-20
提供简单明了的配置界面,而且给了默认的安全策略,反观阿里云服务器,安全策略需要自己去配置,甚至centos机器上都没有预装iptables(起码我们申请两台上都没有),算好可以使用yum来安装,安装命令如下: ...
Linux使用iptables限制多个IP访问你的服务器
01-20
在Linux内核上,netfilter是负责数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪等功能的一个子系统,这个子系统包含一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables是一个...
Linux笔记-ftp动和被动模式下iptables的规则配置
IT1995的博客
03-30 1917
服务端准备 首先安装vsftpd: yum -y install vsftpd 启动服务: systemctl start vsftpd.service 配置文件目录在:/etc/vsftpd/vsftpd.conf 默认情况下,他是开启匿名访问的: 客户端准备 安装ftp yum -y install ftp ftp动模式 客户端使用动模式: 要命令: ftp ip地址 passive 运行 [root@bogon ~]# ftp 192.168.
iptalbes配置ftp\被动模式
weixin_33762130的博客
11-12 63
iptalbes配置ftp\被动模式 FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为动式和被动式。 Port模式:ftp server:tcp 21 <------client:dynamic ftp server:tcp 20 ------>c...
20151208linux系统日常管理第三部分(linux下使用iptables实现内网ftp端口映射 )扩展3
niejicai的博客
12-12 2438
有两台机器,其中一台A 有内网和外网,B机器只有内网。 想达到的目的: 通过A机器的外网去访问B机器的ftp(21) 环境:  A机器外网IP为  123.234.12.22(eth1)  内网IP为 192.168.10.20 (eth0) B机器内网为 192.168.10.21 实现方法: 1.  让你的linux支持ftp的端口转发 modprobe ip_nat_f
使用iptables做端口转发访问ftp
weixin_34377919的博客
03-25 319
iptables做端口转发是个很实用的功能,可以让我们忽略协议细节而实现透明转发,对于加密的数据传输更是好用。 ftp协议不同于http协议,因为ftp的控制端口和数据端口是分离的,在被动模式下,数据端口是通过控制信息来商定的,所以我们不能简单地对21端口做转发。 注:假定我们是通过在 本机IP 上做NAT设置使 源IP 可以通过 本机IP 访问到 ...
使用frp配置内网访问(穿透)教程(超详细,简单)
热门推荐
Lisen’s blog
10-24 20万+
1 Frp介绍 frp 是一个开源、简洁易用、高性能的内网穿透和反向代理软件,支持 tcp, udp, http, https等协议。frp 项目官网是 https://github.com/fatedier/frp, frp工作原理 服务端运行,监听一个端口,等待客户端的连接; 客户端连接到服务端的端口,同时告诉服务端要监听的端口和转发类型; 服务端fork新的进程监听客户端指定的端口; 外网用户连接到客户端指定的端口,服务端通过和客户端的连接将数据转发到客户端; 客户端进程再将数据转发到本地服务
SSH 命令的三种代理功能(-L/-R/-D)和外网访问隐私数据库的示例
helloxiaozhe的博客
09-18 1766
1、SSH 命令的三种代理功能(-L/-R/-D) ssh 命令除了登陆外还有三种代理功能: 正向代理(-L):相当于 iptable 的 port forwarding 反向代理(-R):相当于 frp 或者 ngrok socks5 代理(-D):相当于 ss/ssr 如要长期高效的服务,应使用对应的专用软件。如没法安装软件,比如当你处在限制环境下想要访问下某个不可达到的目标,或者某个临时需求,那么 ssh 就是你的兜底方案。 1.1、正向代理: 所谓“正向代理”就是在本地启动端口,把本地端
FTP内网映射外网访问解决方案
The Home Of Salt Fish
04-02 1万+
最近遇到一个问题,是需要将内网FTP服务器开放到外网上,但是发现对默认的 FTP 21端口做完外网映射后,只能登录上去,但是没法获取到FTP里的内容。 用 XFTP 连接效果 如图: 后面了解到,原来是FTP 分为两个端口,一个访问端口 一个数据端口,21是访问端口,映射了只能保证能进行访问,没有针对数据端口做映射的话,无法获取到数据。 但是FTP 默认的是21访问端口,20为默认数据端口。博修改了本地的FTP访问端口,由21改为了221,数据端口则会每次在一个范围内进行动态生成(大概是102
linux访问ftp带端口,使用iptables做端口转发访问ftp
weixin_34593328的博客
04-30 462
iptables做端口转发是个很实用的功能,可以让我们忽略协议细节而实现透明转发,对于加密的数据传输更是好用。ftp协议不同于http协议,因为ftp的控制端口和数据端口是分离的,在被动模式下,数据端口是通过控制信息来商定的,所以我们不能简单地对21端口做转发。注:假定我们是通过在 本机IP 上做NAT设置使 源IP 可以通过 本机IP 访问到 目标IP1、首先书写并运行nat命令modprob...
使用vsftp在Linux上安全搭建FTP服务器指南
FTP(File Transfer Protocol)是一个用于在互联网上进行文件传输的协议,它允许用户从服务器下载文件或上传文件到服务器FTP协议基于TCP/IP协议族,使用明文传输数据,因此可能存在安全性问题。为了提升安全性,本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值