我经常看到 iptables 的链中有一些状态匹配规则,例如 INPUT。
我知道他们在做什么,我对此很感兴趣
我应该对表 NAT 的链执行相同的操作吗?
例如,在我家的路由器中,我希望它接受 ssh,并且还充当 NAT 路由器。
如果我们有:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
为了获得更好的性能,我应该遵循以下操作吗?
-t nat -A POSTROUTING -m state --state RELATED,ESTABLISHED -j MASQUERADE
-t nat -A POSTROUTING -s 192.168.1.0/24 -o wan0 -m state --state NEW -j MASQUERADE
我想我不应该对POSTROUTING 链做同样的事情,而应该对 FORWARD 做同样的事情。
谢谢!
出于某种原因,我的服务器上没有这样的文件..
root@serv:~# uname -a
Linux serv 5.4.0-87-generic #98~18.04.1-Ubuntu SMP Wed Sep 22 10:45:04 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
root@serv:~# cat /proc/net/stat/nf_conntrack
cat: /proc/net/stat/nf_conntrack: No such file or directory
但是我的 conntrack 肯定是启用的:
root@serv:~# lsmod | grep conntr
xt_conntrack 16384 1
nf_conntrack_netlink 45056 0
nf_conntrack 139264 2 xt_conntrack,nf_conntrack_netlink
nf_defrag_ipv6 24576 1 nf_conntrack
nf_defrag_ipv4 16384 1 nf_conntrack
libcrc32c 16384 1 nf_conntrack
nfnetlink 16384 1 nf_conntrack_netlink
x_tables 45056 3 xt_conntrack,iptable_filter,ip_tables
并且conntrack -L工作完美。
而且lnstat -f ip_conntrack还显示空输出。
是什么原因?我应该为这个文件插入一些内核模块以显示在 procfs 中吗?
有什么方法可以了解我没有权限的“被动”FTP服务器的端口范围。可以在配置文件中设置范围。例如在vsftpd.conf:
pasv_min_port=25000
pasv_max_port=25500
#pasv_min_port=0
#pasv_max_port=0 (any port)
因为我想在我的 Linux 终端服务器上应用一个非常受限的 OUTPUT 防火墙(iptables),所以我需要知道远程服务器的端口范围。FTP 是否支持客户端可以使用的端口范围信息的公开?
我也愿意接受任何其他可能的解决方案,除了以下我假设服务器 IP 地址为 10.1.1.1 的解决方案:
-A OUTPUT -d 10.1.1.1 -j ACCEPT
感谢您的关注...
问候
编辑
感谢@aaron-copley,@martin-prikryl,@user3590719
回答主要问题,FTP 不会向客户端公开被动端口范围。
需要的解决方案是为 FTP 加载 netfilter 连接跟踪模块。
ip_conntrack_ftp (Module alias for CentOS/Red Hat : nf_conntrack_ftp)
Red Hat 7 的工作示例配置:
/etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"
iptables 规则
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.1.1.1/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -j DROP
最后,手动加载模块或重启 iptables.service。