那些遇到过的问题

允许使用 IPTables 进行 FTP

IOT*_*MAN 27 linux iptables centos ftp

我当前的场景涉及允许各种规则,但我需要可以从任何地方访问 ftp。操作系统是 Cent 5,我使用的是 VSFTPD。我似乎无法获得正确的语法。所有其他规则都能正常工作。

## Filter all previous rules
*filter

## Loopback address
-A INPUT -i lo -j ACCEPT

## Established inbound rule
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## Management ports
-A INPUT -s x.x.x.x/24 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/23 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s x.x.x.x/23 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/23 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT

## Allow NRPE port (Nagios)
-A INPUT -s x.x.x.x -p tcp -m state --state NEW -m tcp --dport 5666 -j ACCEPT
-A INPUT -s x.x.x.x -p tcp -m state --state NEW -m tcp --dport 5666 -j ACCEPT

##Allow FTP

## Default rules
:INPUT DROP [0:0]
:FORWARD DROP
:OUTPUT ACCEPT [0:0]
COMMIT
Run Code Online (Sandbox Code Playgroud)

以下是我尝试过的规则。

##Allow FTP
-A INPUT --dport 21 any -j ACCEPT
-A INPUT --dport 20 any -j ACCEPT

-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 20 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT


-A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 20 -j ACCEPT
-A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 21 -j ACCEPT

-A INPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
Run Code Online (Sandbox Code Playgroud)

Eva*_*son 42

这是我向人们推荐的文档,以便他们可以遵循 FTP 协议:http : //slacksite.com/other/ftp.html

  • 要执行主动模式的 FTP,您需要允许进入 TCP 端口 21 的连接和来自端口 20 的传出连接。
  • 要执行被动模式 FTP,您需要允许传入连接到 TCP 端口 21 和传入连接到服务器计算机上随机生成的端口(需要在 netfilter 中使用 conntrack 模块)

你没有任何关于:你的 OUTPUT 链在你的帖子中,所以我也会在这里包括它。如果您的 OUTPUT 链是 default-drop,那么这很重要。

将这些规则添加到您的 iptables 配置中:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
Run Code Online (Sandbox Code Playgroud)

为了支持被动模式的 FTP,你需要在启动时加载 ip_conntrack_ftp 模块。取消注释并将 /etc/sysconfig/iptables-config 文件中的 IPTABLES_MODULES 行修改为:

IPTABLES_MODULES="ip_conntrack_ftp"
Run Code Online (Sandbox Code Playgroud)

保存 iptables 配置并重新启动 iptables。

service iptables save
service iptables restart
Run Code Online (Sandbox Code Playgroud)

要完全排除 VSFTPD 的问题,请停止 VSFTPD,使用“netstat -a”验证它没有侦听端口 21,然后运行:

nc -l 21
Run Code Online (Sandbox Code Playgroud)

这将启动 netcat 侦听端口 21,并将输入回显到您的 shell。从另一台主机,通过 TELNET 连接到服务器的端口 21,并验证您是否获得了 TCP 连接,并且在您输入 TELNET 连接时是否在 shell 中看到了输出。

最后,重新启动 VSFTPD,确认它正在侦听端口 21,然后再次尝试连接。如果与 netcat 的连接有效,那么您的 iptables 规则就可以了。如果在 netcat 完成后与 VSFTPD 的连接不起作用,则说明您的 VSFTPD 配置有问题。

归档时间:

查看次数:

98295 次

最近记录:

8 年,8 月 前
相关归档
如何使用 scp _MOVE_ 文件? 56
如果 CPU 使用率不高,如何判断哪些进程导致高负载? 13
iptables - 将端口上的出站流量重定向到 127.0.0.1 上的入站流量 5
我需要在 linux 中为 nagios 用户创建一个帐户吗 5
如何在不使用堆栈跟踪器的情况下检查进程在 linux 中是否非阻塞? 5
是否需要nat表INPUT链? 5
具有低内存占用的小型 64 位 Linux 服务器发行版? 4
尝试通过 SSH 使 X11 正常工作:连接被服务器拒绝 3
Linux 网络:反映对 resolv.conf 所做更改的命令 1
ssh (openSSH) 问题 1
难疑归档
如何以友好的格式读取 pcap 文件? 153
您如何使您明显处于生产系统中? 136
为什么 RAID 不是备份? 125
为邮件服务器打开哪些端口? 106
如何清除 Chrome 的 SSL 缓存? 89
Rsync 在目标目录中创建一个同名目录 75
通过 OpenSSL 从 P7B 转换为 PEM 61
如何正确设置 NFS 文件夹的权限?安装端的权限被拒绝。 59
如何在 Debian 上启用非自由软件包? 56
更好地记录 cronjobs?将 cron 输出发送到系统日志? 53