标签:iptables ftp
FTP是File Transfer Protocol(文件传输协议),它有两种工作模式,分别是主动模式(post)和被动模式(passive)
主动模式:默认TCP的21端口用来建立连接(控制连接),20端口用来数据传输
被动模式:默认TCP的21端口和主动模式一样用来控制连接,而数据连接则是通过大于1023的端口进行
如果FTP工作在主动模式下只要开放20,21端口即可,但如果工作在被动模式下则不能指定数据传输的端口,则要用到iptables中stata(状态追踪)
state中有四种状态:NEW ESTABLISHED RELATED INVALID
NEW:发起一个TCP连接请求状态
ESTABLISHED:在这个TCP连接请求之后至断开之前的状态
RELATED:通过一个ESTABLISHED连接再升成一个连接,而这个连接就叫RELATED
INVALID:无法识别的连接或无效的连接
开放被动模式配置:
1、我们可以通过RELATED在ftp-control连接中创建出ftp-data连接,如果要使用RELATED则要确保iptables加载了FTP协议支持的模块
# vi /etc/sysconfig/iptables-config IPTABLES_MIDULES=”ip_nat_ftp ip_conntrack_ftp” #加载ip_nat_ftp和ip_conntrack_ftp模块
2、iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #开放请求报文的RELATED,ESTABLISHED状态
# iptables -A INPUT -d 172.16.100.7 -p tcp --dport 21 -m state --state NEW -j ACCEPT #开放21端口 # iptables -A OUTPUT -s 172.16.100.7 -m state --state ESTABLISHED -j ACCEPT #开放响应报文的ESTABLISHED状态
标签:iptables ftp
原文地址:http://10184439.blog.51cto.com/10174439/1832501
