FTP与防火墙
时间:2009-07-07 来源:zsgd
1,目的: 使用iptables保护ftpserver
2,实现
A)制定策略
# Generated by iptables-save v1.2.11 on Mon Jul 6 17:32:14 2009
*filter
:INPUT DROP [47:10594]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 21,22 -j ACCEPT
COMMIT
# Completed on Mon Jul 6 17:32:14 2009
在应用的策略里默认的INPUT是DROP的,并且只开发21, 不用开发20, 应为有state模块被引用进来,同时还开发了22端口用于管理,这是FW的部分就完成了, 还要把ip_conntrack_ftp模块加载到内核里,执行
modprobe ip_conntrack_ftp, 然后执行命令 lsmod就可以看到
# lsmod |grep ftp
ip_conntrack_ftp 76529 0
ip_conntrack 46085 2 ip_conntrack_ftp,ipt_state
如果没有上面的模块FTP还是无法用PASS连接的,这样PASS和PORT两种模式都可以用了
在新版 (V 1.2) 的 vsftpd 的配置文件里,增加了 pasv_max_port,pasv_min_port 以及 pasv_address 参数,可以用来配置 passive ftp。
pasv_max_port 和 pasv_min_port 定义 passive ftp 在服务器端监听的最高和最低的 port,pasv_address 为外部 IP 地址。这样,在你的防火墙上,将 pasv_min_port 和 pasv_max_port 之间的 port 转发到 ftp 服务器就可以了。pasv_min_port 和 pasv_max_port 一般选择高端的 port,比如 60000 - 65000。
2,实现
A)制定策略
# Generated by iptables-save v1.2.11 on Mon Jul 6 17:32:14 2009
*filter
:INPUT DROP [47:10594]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 21,22 -j ACCEPT
COMMIT
# Completed on Mon Jul 6 17:32:14 2009
在应用的策略里默认的INPUT是DROP的,并且只开发21, 不用开发20, 应为有state模块被引用进来,同时还开发了22端口用于管理,这是FW的部分就完成了, 还要把ip_conntrack_ftp模块加载到内核里,执行
modprobe ip_conntrack_ftp, 然后执行命令 lsmod就可以看到
# lsmod |grep ftp
ip_conntrack_ftp 76529 0
ip_conntrack 46085 2 ip_conntrack_ftp,ipt_state
如果没有上面的模块FTP还是无法用PASS连接的,这样PASS和PORT两种模式都可以用了
在新版 (V 1.2) 的 vsftpd 的配置文件里,增加了 pasv_max_port,pasv_min_port 以及 pasv_address 参数,可以用来配置 passive ftp。
pasv_max_port 和 pasv_min_port 定义 passive ftp 在服务器端监听的最高和最低的 port,pasv_address 为外部 IP 地址。这样,在你的防火墙上,将 pasv_min_port 和 pasv_max_port 之间的 port 转发到 ftp 服务器就可以了。pasv_min_port 和 pasv_max_port 一般选择高端的 port,比如 60000 - 65000。
相关阅读 更多 +
