那些遇到过的问题

主动\被动模式下 FTP 服务器的适当 iptables 规则

use*_*351 4 linux ftp iptables centos6 proftpd

我在 CentOS6 上安装了 ProFTPD 服务器。如果我使 ftp 本地主机,我可以正确连接,但如果我从外部尝试,我会收到消息“没有到主机的路由”。但有一条到主机的路由,因为我是通过 SSH 连接的。

我尝试添加以下 iptable 规则:

iptables -A INPUT  -p tcp -m tcp --dport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"

iptables -A INPUT  -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"

iptables -A INPUT  -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow passive inbound connections"
Run Code Online (Sandbox Code Playgroud)

并重新启动 proftpd 和 iptables 服务。我可以做什么来解决这个问题?

Yoe*_*oel 7

为了允许 FTP,您需要在服务器上遵循以下规则:

  1. 允许客户端向21端口发起控制连接,如下:

    iptables -A INPUT  -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A OUTPUT -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
    Run Code Online (Sandbox Code Playgroud)

  2. 对于主动模式,允许服务器从20端口发起数据连接,如下:

    iptables -A OUTPUT -p tcp -m tcp --sport 20 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A INPUT  -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
    Run Code Online (Sandbox Code Playgroud)

  3. 对于被动模式,允许客户端在非特权端口上发起数据连接:

    iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
    Run Code Online (Sandbox Code Playgroud)

普通conntrack模块应该正确跟踪何时RELATED在主动模式下建立数据连接,但是您可能需要加载模块nf_conntrack_ftp以正确跟踪何时在被动模式下建立此类连接:

  • 检查是否已加载lsmod | grep nf_conntrack_ftp.
  • 加载它modprobe nf_conntrack_ftp

或者,您可以将RELATEDstate 替换为NEWstate,虽然安全性较差,但肯定可以完成工作。

此链接提供了上述规则的基本原理的简明摘要。

归档时间:

查看次数:

8634 次

最近记录:

8 年,1 月 前
相关归档
在编译python的时候--enable-optimizations做了什么? 46
找不到libcrypto库错误 24
Amazon Ec2 FTP写入权限 18
什么像DOS2Unix for Windows? 15
使用CONFIG + = staticlib构建Qt应用程序会导致"未定义引用vtable"错误 15
如何删除旧版本的Java并安装新版本 14
如何在PHP中扫描 10
如何在Android上使用framebuffer进行绘制? 9
停止MySQL数据库服务器:mysqld失败 9
在java应用程序中使用ftp4j库下载/上载时出现FTP错误 1
难疑归档
如何修改现有的,未删除的提交? 7669
使用Java创建内存泄漏 3076
如何克隆或复制列表? 2289
获取屏幕大小,当前网页和浏览器窗口 1927
何时在JavaScript中使用双引号或单引号? 1903
Facebook如何禁用浏览器的集成开发人员工具? 1652
按列名从pandas DataFrame中删除列 1136
按属性排序自定义对象的ArrayList 1093
自定义HTTP标头:命名约定 1051
测量Python中经过的时间? 1031