主页 / server / 问题 / 38398
Accepted
IOTAMAN
Asked: 2009-07-10 07:59:17 +0800 CST

允许使用 IPTables 进行 FTP

  • 772

我目前的情况涉及允许各种规则,但我需要可以从任何地方访问 ftp。操作系统是 Cent 5,我正在使用 VSFTPD。我似乎无法使语法正确。所有其他规则都正常工作。

## Filter all previous rules
*filter

## Loopback address
-A INPUT -i lo -j ACCEPT

## Established inbound rule
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## Management ports
-A INPUT -s x.x.x.x/24 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/23 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s x.x.x.x/23 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s x.x.x.x/23 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT

## Allow NRPE port (Nagios)
-A INPUT -s x.x.x.x -p tcp -m state --state NEW -m tcp --dport 5666 -j ACCEPT
-A INPUT -s x.x.x.x -p tcp -m state --state NEW -m tcp --dport 5666 -j ACCEPT

##Allow FTP

## Default rules
:INPUT DROP [0:0]
:FORWARD DROP
:OUTPUT ACCEPT [0:0]
COMMIT

以下是我尝试过的规则。

##Allow FTP
-A INPUT --dport 21 any -j ACCEPT
-A INPUT --dport 20 any -j ACCEPT

-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 20 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT


-A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 20 -j ACCEPT
-A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 21 -j ACCEPT

-A INPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
linux centos ftp iptables

3 个回答

  1. Best Answer

    这是我推荐人们参考的文档,以便他们可以遵循 FTP 协议:http ://slacksite.com/other/ftp.html

    • 要进行主动模式 FTP,您需要允许 TCP 端口 21 的传入连接和端口 20 的传出连接。
    • 要进行被动模式 FTP,您需要允许到 TCP 端口 21 的传入连接和到服务器计算机上随机生成的端口的传入连接(需要在 netfilter 中使用 conntrack 模块)

    您的帖子中没有任何内容:您的 OUTPUT 链,所以我也会在此处包含它。如果您的 OUTPUT 链是默认丢弃,那么这很重要。

    将这些规则添加到您的 iptables 配置中:

    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

    那么,要支持被动模式 FTP,您需要在启动时加载 ip_conntrack_ftp 模块。取消注释并将 /etc/sysconfig/iptables-config 文件中的 IPTABLES_MODULES 行修改为:

    IPTABLES_MODULES="ip_conntrack_ftp"

    保存 iptables 配置并重新启动 iptables。

    service iptables save
service iptables restart

    要完全排除 VSFTPD 的问题,请停止 VSFTPD,使用“netstat -a”验证它没有在端口 21 上侦听,然后运行:

    nc -l 21

    这将启动 netcat 监听端口 21 并将输入回显到您的 shell。从另一台主机,TELNET 到您服务器的端口 21,并验证您获得了 TCP 连接,并且当您键入 TELNET 连接时,您在 shell 中看到了输出。

    最后,重新启动 VSFTPD,确认它正在侦听端口 21,然后再次尝试连接。如果与 netcat 的连接正常,那么您的 iptables 规则就可以了。如果在 netcat 完成后无法连接到 VSFTPD,则说明您的 VSFTPD 配置有问题。

    • 42

  2. 试试这个规则。注意:$EXTIP是您的 FTP 服务器的外部 IP 地址。

    -A INPUT -i $EXTIP -m state --state NEW,ESTABLISHED,RELATED -p TCP -s 0.0.0.0 -d $EXTIP --dport 21 -j ACCEPT
    • 0

  3. 就我而言,我缺少 ip_conntrack_ftp 内核模块。它需要加载。所以你可以试试这个:

    modprobe ip_conntrack_ftp

    并且还将 ip_conntrack_ftp 添加到 /etc/modules 以便重启后可以工作

    • 0

相关问题