`
- 浏览:
258908 次
- 性别:
- 来自:
未定
-
转自:http://blog.csdn.net/moreorless/archive/2010/02/04/5289147.aspx
FTP的主动模式(active mode)和被动模式(passive mode):
大多数的TCP服务是使用单个的连接,一般是客户向服务器的一个周知端口发起连接,然后使用这个连接进行通讯。但是,FTP协议却有所不同,它使用双向的多个连接 ,而且使用的端口很难预计。一般,FTP连接包括:
一个控制连接 (control connection)
这个连接用于传递客户端的命令和服务器端对命令的响应。它使用服务器的21端口,生存期是整个FTP会话时间。
几个数据连接 (data connection)
这些连接用于传输文件和其它数据,例如:目录列表等。这种连接在需要数据传输时建立,而一旦数据传输完毕就关闭,每次使用的端口也不一定相同。而且,数据连接既可能是客户端发起的,也可能是服务器端发起的。
在FTP协议中,控制连接使用周知端口21 ,因此使用ISA的IP PACKET FILTER就可以这种连接进行很好的安全保护。相反,数据传输连接的目的端口通常实现无法知道,因此处理这样的端口转发非常困难。F
TP协议使用一个标准的端口21作为ftp-data端口,但是这个端口只用于连接的源地址是服务器端的情况,在这个端口上根本就没有监听进程。
FTP的数据连接和控制连接的方向一般是相反的,也就是说,是服务器向客户端发起一个用于数据传输的连接。连接的端口是由服务器端和客户端协商确定的。FTP协议的这个特征对ISA 转发以及防火墙和NAT的配置增加了很多困难。
除此之外,还有另外一种FTP模式,叫做被动模式 (passive mod)。在这种模式下,数据连接是由客户程序发起的,和刚才讨论过的模式(我们可以叫做主动模式 )相反。
是否采取被动模式取决于客户程序,在ftp命令行中使用passive命令就可以关闭/打开被动模式。
iptables中配置vsftp
问题:配置iptables后, vsftpd不能用。常见现象是能够登录到服务器,LIST列目录失败(超时)。
分析:
主动模式 下,客户连接 TCP/21,服务器通过 TCP/20 连接客户的随机端口
————这种情况下,通过状态防火墙可以解决 iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
被动模式 下,客户连接 TCP/21,客户再通过其他端口连接服务器的随机端口
卡住的原因,是因为服务器在被动模式下没有打开临时端口让 client 连过来,因此需要几个条件
1、client 没有防火墙时,用主动模式连接即可
2、server 没有防火墙时,用被动模式即可
3、双方都有防火墙时,vsftpd 设置被动模式高端口范围,server 打开那段范围,client 用被动模式连接即可
4、加载 ip_conntrack_ftp 模块,使 server 支持 connection tracking,支持临时打洞,client 用被动模式即可
5、server 使用 ip_conntrack_ftp、client 使用 ip_conntrack_ftp 和 ip_nat_ftp,支持临时打洞和临时 NAT 穿越打洞,双方使用主动或被动模式均可
“打洞”的配置说明:
优点:不影响ftp配置;缺点:客户会感觉到连接有些延迟。原因参见ip_conntract的实现原理
在/etc/modprobe.conf中添加
alias ip_conntrack ip_conntract_ftp ip_nat_ftp
在/etc/rc.local中添加
/sbin/modprobe ip_conntract
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
这个作用就是完成上面所说的“临时打洞”的方法。
限制被动模式连接端口的配置说明
优点:对连接速度没有影响。缺点:限制了被动模式下,客户端并发连接的数量。
在/etc/vsftpd/vsftpd.conf中添加
pasv_min_port=2222
pasv_max_port=2225
iptables中开放这段端口
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 2222:2225 -j ACCEPT
分享到:
Global site tag (gtag.js) - Google Analytics
相关推荐
本文将详细介绍在Linux环境下配置vsftp的三种方法:匿名用户形式、本地用户形式以及虚拟用户形式。 ### 一、Vsftp的三种实现方式 1. **匿名用户形式**:默认安装后,系统仅允许匿名用户访问FTP服务器。匿名用户...
本篇文章将详细介绍如何在Ubuntu环境下安装并配置VSFTPD,以及提供一份完整的`vsftp.conf`配置文件示例。 首先,我们需要通过Ubuntu的包管理器`apt`来安装VSFTPD。打开终端并输入以下命令: ```bash sudo apt ...
vsftpd 的配置主要集中在 `/etc/vsftpd/vsftpd.conf` 文件中,这是 vsftpd 的主配置文件。配置文件中有许多选项可用于定制 vsftpd 的行为。 ##### 示例配置 下面是一些重要的配置选项示例: - `anonymous_enable=...
3. 防火墙规则:通过iptables或firewalld设置端口过滤,只允许特定IP访问FTP服务。 4. 使用非标准端口:通过`listen_port`配置项更改默认的21端口。 5. 控制用户访问:通过`userlist_deny=YES`和`userlist_file=/etc...
该文档将详细介绍如何在Linux环境中配置vsftp,包括匿名用户、本地用户和虚拟用户三种访问形式。 一、vsftp简介 Vsftp全称为Very Secure FTP,其安全性在于支持多种安全措施,例如限制用户权限、支持SSL加密和PAM...
VSFTP(Visual Secure FTP Protocol)是一款非常流行的FTP服务器软件,尤其在Linux系统中被广泛使用。它提供了多种安全性和灵活性的配置选项,包括为不同用户设置不同的权限。在这个配置示例中,我们将讨论如何为两...
在使用vsftp服务器过程中,可能会遇到vsftp服务无法正常启动的问题。这种情况往往会给用户带来不少困扰,特别是对于那些依赖FTP服务进行文件传输的业务场景。本文将详细介绍vsftp启动失败的原因及相应的解决方法,...
在Redhat 5.5操作系统...以上步骤详细介绍了在Redhat 5.5环境中安装和配置VSFTP的过程,包括创建用户、修改配置文件、设置权限和端口,以及启动和验证服务。通过这些步骤,你可以构建一个安全且功能完备的FTP服务器。
3. **安全设置防火墙**:使用iptables或ufw等工具,只允许特定IP或端口访问FTP服务。 4. **定期更新**:及时更新Vsftp到最新版本,修复已知的安全漏洞。 总之,Vsftp v2.0.6为Linux系统提供了一个强大且安全的FTP...
2. **配置VSFTP**:安装完成后,需要编辑`/etc/vsftpd.conf`配置文件,根据需求调整参数。常见的配置包括: - `anonymous_enable=NO`:禁用匿名访问。 - `local_enable=YES`:启用本地用户访问。 - `write_enable...
在配置vsftp时,务必注意每个选项后面的等号两侧不应有空格,以确保正确设置。对配置文件的任何改动都需要重新加载或重启服务才能生效。为了提高服务器的安全性,通常还会结合防火墙规则(如iptables)和其他安全...
vsFTP登录后不显示文件目录的问题可以通过修改防火墙规则来解决,方法是给vsFTPd增加随机端口的范围,然后把这个端口范围添加到iptables中。同时,防火墙管理也是非常重要的,需要遵循一些基本的防火墙管理技巧来...
本文将详细介绍如何在RHEL5系统中配置vsftp,包括三种不同的实现方式:匿名用户形式、本地用户形式和虚拟用户形式。 ### 一、Vsftp简介 1. **匿名用户形式**:默认安装后,系统仅允许匿名用户访问FTP服务器。 2. *...
本文将详细介绍如何在vsftp(Very Secure FTP daemon)环境中进行FTP用户的添加与删除操作。通过这些步骤,可以有效地管理服务器上的用户访问权限,确保数据的安全性和合规性。 #### 二、准备工作 1. **确认vsftpd...
### 构建Red Hat Linux下的VSFTP服务器实现与主机共享 ...通过以上步骤,可以在Red Hat Linux环境中成功搭建VSFTP服务器,并实现与Windows主机之间的资源共享。这种方式不仅简单快捷,还具有很高的灵活性和实用性。
本篇文章将详细介绍如何在Linux上配置VSFTP服务器,包括服务器的分类、访问方式以及具体的配置步骤。 首先,了解Linux FTP服务器的分类。常见的有wu-ftp、proFTPd和VSFTPd。其中,VSFTPd代表"Very Secure FTP ...
在IT领域,特别是网络服务与安全配置中,利用vsFTPd结合MySQL数据库实现虚拟用户的访问控制是一种常见且高效的方法。这种方法不仅增强了FTP服务的安全性,同时也提供了更灵活的用户管理和资源分配方式。以下是对如何...