研究Linux下Firewall防火墙的配置

最近在研究Linux下Firewall的配置，发现配置好防火墙以后ftp就有问题了，一直都不能够用Filezilla 和 CuteFTP登录，在列出目录的时候一直会失败。但是在命令行下面如果先执行passive off，一切正常。

答案在CU上找到的，主要是要使用 ip_conntrack_ftp

原文：

使用 -P INPUT DROP 引起的网路存取正常，但是 ftp 连入却失败？

依据前面介绍方式，只有开放 ftp port 21 服务，其他都禁止的话，一般会配置使用：

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

这样的配置，确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登入画面，不过后续要浏览档案目录清单与档案抓取时却会发生错误。..

ftp 协定本身于 data channnel 还可以区分使用 active mode 与 passive mode 这两种传输模式，而就以 passive mode 来说，最后是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。

这样配置在 ftp 传输使用 active 可能正常，但是使用 passive mode 却发生错误，其中原因就是因为该主机firewall 规则配置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题。

要解决该问题方式，于 iptables 内个名称为 ip_conntrack_ftp 的 helper，可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截，提供给 iptables 设定 firwewall 规则的配置使用。开放做法为：

modprobe ip_conntrack_ftp

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED，RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

modprobe ip_conntrack_ftp

iptables -P INPUT DROP

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!