主页 / server / 问题 / 524487
Accepted
Asad Moeen
Asked: 2013-07-19 09:41:39 +0800 CST

限制 FTP 客户端端口?

  • 772

好的,所以我使用简单的 linux ftp 客户端从 ftp 服务器下载/上传文件。我有一个 iptables 防火墙,它阻止了大部分端口,我必须关闭防火墙才能使其工作。虽然端口 21 是开放的,但我想这解释了为什么下载有效,而不是上传。以下命令与防火墙完美配合:

wget ftp://user:[email protected]

当我实际连接到服务器并尝试将文件“放置”/上传到服务器时,我只是遇到了问题。这是当时使用的端口的示例 netstat 输出,但它总是不同的。

netstat -a | grep ServerIP
tcp        0 197520 myIP.:59622 ServerIP:ftp-data ESTABLISHED
tcp        0      0 myIP.:40341 ServerIP:ftp      ESTABLISHED

myIP 范围内的两个端口都被阻止,我无法猜测我必须打开哪些端口。谷歌搜索也失败了。其次,如果我在 iptables 上尝试这样的事情,它会给我一个错误:

-A INPUT -p tcp --match multiport --dport 40000:40500 -j ACCEPT
iptables-restore v1.4.8: too many ports specified

其次,当我在配置文件中阻止端口之前有以下行时,为什么我需要打开端口:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables

2 个回答

  1. Best Answer

    一个可能的原因是您使用了活动的 FTP。

    FTP 有主动模式和被动模式。

    积极的:

    在主动模式 FTP 中,客户端从一个随机的非特权端口(N > 1023)连接到 FTP 服务器的命令端口,即端口 21。然后,客户端开始侦听端口 N+1 并向 FTP 发送 FTP 命令 PORT N+1服务器。然后,服务器将从其本地数据端口(即端口 20)连接回客户端的指定数据端口。

    被动的:

    为了解决服务器启动与客户端的连接的问题,开发了一种不同的 FTP 连接方法。在客户端使用命令告诉服务器它处于被动模式之后,这被称为被动模式或 PASV。在被动模式 FTP 中,客户端启动到服务器的两个连接,解决了防火墙过滤从服务器到客户端的传入数据端口连接的问题。在打开 FTP 连接时,客户端会在本地打开两个随机的非特权端口(N > 1023 和 N+1)。第一个端口在端口 21 上与服务器联系,但不是随后发出 PORT 命令并允许服务器连接回其数据端口,而是客户端将发出 PASV 命令。这样做的结果是服务器随后打开了一个随机的非特权端口(P > 1023) 并将 P 发送回客户端以响应 PASV 命令。然后客户端发起从端口 N+1 到服务器端口 P 的连接以传输数据。

    -- Active FTP vs. Passive FTP,一个明确的解释

    这意味着您有两个选择:

    1. 简单的选择:使用被动模式
    2. 硬选项:允许来自端口 20 的传入连接,来自您已经建立连接的任何主机。

    我会选择选项1

    • 3

  2. 要完成Christopher Perrin 的回答中的选项 2 ,您可以使用recent匹配扩展。它将源 IP 地址添加到您可以在后续规则中检查的列表中。对于这些规则,我假设eth0是您的 WAN 接口。

    iptables -A FORWARD -o eth0 -p tcp --dport 21 -m state --state ESTABLISHED -m recent --name trustedftp --set
iptables -A FORWARD -i eth0 -p tcp --sport 20 -m recent --name trustedftp --seconds 30 --rcheck -j ACCEPT

    我没有对此进行测试,但我认为它应该可以工作。

    • 1

相关问题