FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。
Port模式:ftp server:tcp 21 <------client:dynamic ftp server:tcp 20 ------>client:dynamic
Pasv模式:ftp server:tcp 21 <----client:dynamic ftp server:tcp dynamic <----client:dynamic
PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户 端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条 数据链路来传送数据。
PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务 器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来 传送数据。
本文用到ip_conntrack_ftp模块
对modprobe命令不了解的可以先看看我的这篇博客:
modprobe命令
iptables模块关系:
1、modprobe ip_tables
当 iptables 对 filter、nat、mangle 任意一个表进行操作的时候,会自动加载 ip_tables 模块
另外,iptable_filter、iptable_nat、iptable_mangle 模块也会自动加载。
2、modprobe ip_conntrack
ip_conntrack 是状态检测机制,state 模块要用到
当 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 时,ip_conntrack 自动加载。
3、modprobe ip_conntrack_ftp
ip_conntrack_ftp 是本机做 FTP 时用的。
ip_nat_ftp 是通过本机的 FTP 需要用到的(若你的系统不需要路由转发,没必要用这个)
当 modprobe ip_nat_ftp 时,系统自动会加载 ip_conntrack_ftp 模块。
具体设置
加载模块(ports=21可以不写,如果用其他端口时要加上):
引用
sudo modprobe ip_conntrack_ftp ports=21
iptables设置(我的默认DROP所有,只开启要用的端口):
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
我用pure-ftp做试验。
问题:客户端连接服务器只能通过Port模式连接,因为我默认DROP了所有高端口,这一来用ip_conntrack_ftp的意义就没了。我是想只开21和20端口对外提供主动和被动模式ftp服务。应该用nat能解决?网上有加载ip_nat_ftp模块和ip_conntrack_ftp的,不太懂怎么用,有谁知道怎么解决?指点一下,感激不尽!
具体情况如下:
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:10080 0.0.0.0:* LISTEN
tcp 0 0 10.3.37.110:41505 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 10.3.37.110:49861 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 10.3.37.110:26218 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 10.3.37.110:38605 0.0.0.0:* LISTEN #Pasv模式协商的数据端口
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 10.3.37.110:44792 0.0.0.0:* LISTEN #Pasv模式自动协商的数据端口
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 1 0 10.3.37.110:21 10.5.28.185:2436 CLOSE_WAIT
tcp 0 0 10.3.37.110:21 10.5.28.185:2439 ESTABLISHED #正在连接的
tcp 1 0 10.3.37.110:21 10.5.28.185:2412 CLOSE_WAIT #客户端关闭而不能正常关闭的连接
tcp 1 0 10.3.37.110:21 10.5.28.185:2403 CLOSE_WAIT #客户端关闭而不能正常关闭的连接
tcp 1 0 10.3.37.110:21 10.5.28.185:2419 CLOSE_WAIT #客户端关闭而不能正常关闭的连接
tcp 1 0 10.3.37.110:21 10.5.28.185:2423 CLOSE_WAIT #客户端关闭而不能正常关闭的连接
iptables设置:
# Generated by iptables-save v1.3.5 on Mon Oct 12 00:05:43 2009
*filter
:INPUT DROP [2364:220265]
:FORWARD DROP [0:0]
:OUTPUT DROP [181:8260]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 10080 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
COMMIT
# Completed on Mon Oct 12 00:05:43 2009
分享到:
- 2009-10-10 20:40
- 浏览 12163
- 评论(0)
- 论坛回复 / 浏览 (0 / 4052)
- 查看更多
相关推荐
# 载入相关模块 PATH=/sbin:/bin:/usr/sbin:/usr/bin ...modprobe ip_conntrack_ftp > /dev/null 2>&1 modprobe ip_conntrack_irc > /dev/null 2>&1 modprobe ipt_MASQUERADE > /dev/null 2>&1
- **Nat helper**:负责根据数据包的内容(如源地址、目的地址、端口和协议等),查找 ip_conntrack 数组中的相关信息,并按照 ALG 的要求修改数据包,从而解决 NAT 引发的问题。 例如,在 `linux/...
连接跟踪辅助模块(`ip_conntrack_helper`)用于扩展连接跟踪功能,例如支持FTP等活跃协议。每个辅助模块都由一个`ip_conntrack_helper`结构体表示,该结构体包括: - **protocol**:协议类型。 - **helper_function*...
IPTABLES_MODULES=ip_conntrack_netbios_ns ip_conntrack_ftp service iptables restart 四、防火墙管理技巧 防火墙管理是非常重要的,以下是一些防火墙管理技巧: 1. 所有的防火墙文件规则必须更改。 2. 以最小的...
CentOS配置防火墙 昨天帮朋友配置CentOS服务器,一开始为了方便测试直接把防火墙关...把文件最后一行IPTABLES_MODULES=”ip_conntrack_ftp” 改为#IPTABLES_MODULES=”ip_conntrack_ftp” ,即注释掉那一行配置项 添加
- `CONFIG_IP_NF_CONNTRACK` - `CONFIG_IP_NF_FTP` - `CONFIG_IP_NF_IPTABLES` - `CONFIG_IP_NF_MATCH_LIMIT` - `CONFIG_IP_NF_MATCH_MAC` - `CONFIG_IP_NF_MATCH_MARK` - `CONFIG_IP_NF_MATCH_MULTIPORT` -...
/sbin/modprobe ip_conntrack_ftp iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F -t nat iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2....
modprobe ip_conntrack_ftp modprobe ip_nat_ftp # 清空所有链 iptables -F iptables -X iptables -Z # 设置默认策略 iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # 允许 FTP ...
为支持FTP的被动模式,需要加载`ip_conntrack_ftp`模块,修改`/etc/sysconfig/iptables-config`文件,并重启`iptables`和`vsftpd`服务。 完成上述步骤后,FTP服务器已基本配置完毕。你可以通过本地PC或FTP客户端...
有多种配置选项与iptables和Netfilter相关,例如CONFIG_PACKET用于支持原始套接字的网络包捕获,CONFIG_NETFILTER用于启用内核网络包过滤框架,CONFIG_IP_NF_CONNTRACK用于网络连接跟踪,CONFIG_IP_NF_FTP用于支持...
/sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/iptables -t nat -A postrouting -o eth0 -j masquerade /sbin/iptables -t nat -A postrouting -o eth1 -j masquerade route add default gw 219...
通过调整`net.ipv4.ip_conntrack_max`和`net.ipv4.tcp_max_syn_backlog`等参数,可以改变系统的并发连接处理能力。 3. **内核参数**:在某些情况下,可能需要重新编译或动态调整操作系统的内核参数,例如`/proc/sys...
<*> "conntrack" connection tracking match support <*> "state" match support < > IP virtual server support ---> 修改为: <*> IP virtual server support ---> [ ] Netfilter connection tracking (NEW) ...
11. **vsftpd工作模式**:vsftpd有两种主要模式,被动模式和主动模式,其中被动模式常用于解决防火墙问题,它使用一个随机端口与FTP客户端通信,而主动模式则是服务器直接向客户端的特定端口发送数据。 12. **DNS...
3comdaemon服务(tftp,ftp,systemlog) ACDSEE ACRONIS-磁盘镜像 ChangeIP快速切换ip FINALDATA-数据恢复 FOXITREADER-PDF阅读器 FREEWB-输入法 GHOST11
5. **kernel: conntrack_ftp: partial 2272205426703 + 13** - **含义**:FTP协议连接维护时出现错误。 - **分析**: - 此类提示通常可以忽略,但如果频繁出现则可能意味着服务器的某些配置存在问题。 6. **...
ftp是个很好的例子,FTP-data 连接就是和FTP-control有RELATED的。 <br>INVALID <br>INVALID说明数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况,比如,内存溢出,收到不知属于哪个...
2、输出模块:该模块负责将分类结果输出,包括mark、标记skb和conntrack,多维分类结果记录于DPI内部结构cls_info,并提供查询接口。 3、DPI功能模块:该模块是XAI识别方法的核心部分,负责对网络流量进行分类和...