`
月影无痕
  • 浏览: 1009611 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

iptables防火墙与vsftpd的被动传输模式

阅读更多

Linux服务器上开启了防火墙,并配置vsftpd,就出现了一些问题

 

可以连接,列出目录,但是无法下载/上传,经过检查,是受FTP传输模式影响导致。

 

iptables的配置策略往往就限制入站的目的端口,ftp服务器使用标准的21端口作为控制端口,但是数据的传输端口取决于传输模式

 

主动模式:
  服务器以源端口20或随机端口向客户端的协商的随机端口发起链接,也就是说,这时两边防火墙的策略应该是:
 服务器端应该允许目标端口为20的入站连接,允许所有随机端口的出站连接

 

当然,服务器是否以20为源端口连接,取决于/etc/vsftpd.conf是否设置

connect_from_port_20=YES

 

客户端应该允许所有源端口为20的入站连接,允许所有随机端口的出站连接

 

被动模式:
  客户端以随机连接服务器的某个随机端口(通过21端口协商得到)

 

如此, 如果客户端使用了NAT或是有防火墙,问题就变得复杂多了。

 

在主动模式下,服务器连接客户端(即客户端NAT主机的公网IP)随机端口,肯定会失败的,所以客户端使用NAT时,不能使用主动模式,同理,如果客户端使用防火墙,只允许指定的入站端口连接,那么也会失败。

 

如果使用被动模式呢?也有问题,因为客户端是连接服务器的随机端口(服务器只允许指定入站端口连接),也会出问题,那么对于vsftpd, 解决办法就是:

 

1.vsftpd 使用被动模式,并设定被动模式监听的端口范围

2.服务器防火墙允许到此范围端口的入站连接

 

 

对vsftpd的配置:
pasv_enable=YES //使用被动模式,等待客户端连接
pasv_min_port=50000 //被动模式时监听的端口范围下限
pasv_max_port=50100//被动模式时监听的端口范围上限

 

对iptables的配置

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 50000:50100 -j ACCEPT

 

当然,客户端需要设置为被动方式连接

 

 

分享到:
评论

相关推荐

    基于net的超市管理系统源代码(完整前后端+sqlserver+说明文档+LW).zip

    功能说明: 环境说明: 开发软件:VS 2017 (版本2017以上即可,不能低于2017) 数据库:SqlServer2008r2(数据库版本无限制,都可以导入) 开发模式:mvc。。。

    LABVIEW程序实例-公式节点.zip

    labview程序代码参考学习使用,希望对你有所帮助。

    大米商城开源版damishop(适合外贸)

    大米外贸商城系统 简称damishop 完全开源版,只需做一种语言一键开启全球133中语言自动翻译功能,价格实现自动汇率转换,集成微信支付宝 paypal以及国外主流支付方式,自带文章博客系统。 软件架构 基于MVC+语言包模式,增加控制台,API导入产品方便对接其他系统(带json示例数据)。 使用要求 PHP7.4+ MYSQL5.6+ REDIS(可选) 安装方法 composer install 打开安装向导安装 http://您的域名/install 特色 1、缓存层增加时间与批量like删除 2、API产品导入方便对接其他系统 3、增加控制台命令行,命令行生成语言翻译包 4、后台一键开启自动翻译模式,支持全球133中语言,由于google代理翻译需要收费,这个功能需要付费。 5、可选购物车与ajax修改购物车产品 6、一键结算checkout 7、增加网站前台自定义路由 方便seo 更新日志 v3.9.7 集成鱼码支付接口,方便个人站长即使收款到账使用 v3.9.3 更新内容 1:增加ueditor与旧编辑器切换 2:增加可视化布局插

    LABVIEW程序实例-通过全局变量接收数据.zip

    labview程序代码参考学习使用,希望对你有所帮助。

    LABVIEW程序实例-日历控件.zip

    labview程序代码参考学习使用,希望对你有所帮助。

    毕设和企业适用springboot人工智能客服系统类及旅游规划平台源码+论文+视频.zip

    毕设和企业适用springboot人工智能客服系统类及旅游规划平台源码+论文+视频

Global site tag (gtag.js) - Google Analytics