一、故障描述

  由于开发提出需求,为他们搭建内部ftp服务器,搭建好后,提交给他们,测试可以正常使用。后来过了一段时间后,有一天无法登陆了。于是去ftp主机上检查问题,ftp的配置文件没有改动,端口监听也正常。telnet也可以通。但是用网页,或者winscp 访问就是无法连接。后来谷歌后,发现ftp的iptables 规则比其它应用不太像,有点特别。需要特别的修改下防火墙。(询问后,得知之前其它运维同事加固过该机器的防火墙....)

  

二、解决方式

  1.在原有的防火墙规则中加入以下规则。

-A INPUT -p tcp -s 192.168.30.0/24 -p tcp -m state NEW --dport  -j ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  2.加入规则,重启后,虽然能登陆了,但是使用ftp工具时一直报这个错误。无法列出目录。

图1.

图2.

  3.后来在iptables 的配置文件中,加入一个模块后,就可以了。可以使用以下命令去添加,永久生效。如下:

sed -i '$ a IPTABLES_MODULES="ip_conntrack_ftp"' /etc/sysconfig/iptables-config

  之后重启iptables,即可将该ftp跟踪模块加载到内核中。ip_conntrack_ftp模块是专用于跟踪ftp连接的。

三、原因分析

  1.涉及到了主动和被动模式

  主动模式: client 打开一个随机端口 port1 去连接 server的 21 号端口,与server的默认21号端口建立连接后。这个时候,client会再打开一个随机端口 port 2等待服务器来连接。服务器收到用户端的命令后,就使用20专用数据传输端口去连接client随机开放的port 2端口。

  (注:如果客户端开了防火墙,可能会阻塞ftp 服务器20端口与port 2 之间的连接,这个时候,被动模式就出现了。)

如下图:

  

   注:图片来源于文末的参考资料

  被动模式:client使用一个随机端口 去连接ftp server 的21 端口,并发出PASV的要求。 server 去回应 client,并告知clinet : 我已经将本机的 port 3 打开。你来连接吧。之后 client 就会收到 server 发送的 服务器ip+port3的 数据包。 client 就会在本机上打开一个随机的端口 port 4 ,用 port 4去连接服务器上的 port3 端口。这样client 和server 就建立了数据传输的连接。

如下图:

  

  

   注:图片来源于文末的参考资料

  2. 期间我通过使用tcpdump 的分析,也更加的对以上的知识原理进行了进一步的实践和学习。

四、主动&被动学习验证

  1.环境介绍:  client 端: 192.168.30.58

          server端:   192.168.30.203

  

  2.主动模式验证:

  server 端运行tcpdump 监听:

  

  !!!纠正一个错误:上图中的标注客户端将本机的随机开放的端口发送给服务器内容的那一条,实际上不是在这里发送的,而是在 第一次 ftp-data(20)端口 与 端口49404连接的往上数第四条,是在那儿发送的随机端口。

  客户端登陆执行的命令:

  

  可能大家会对上述中的client后续随机打开的端口计算方法有点疑问,一开始我也是,后来查了一下,解释如下:

  PORT 命令 用于打开端口的命令。格式为 PORT a,b,c,d,e,f。其中 a,b,c,d 为点分十进制形式的 IP 地址;e,f 表示端口号,为 2 个 10 进制数字,用以标识 e×256 + f 运算出来的端口 号。本文章的e,f也就是192,252. 运行上面的公式后,就得到了端口号为49404

  3.被动模式验证:

  server 端运行tcpdump 监听:

   

  其实我们也可以使用 tcpdump 时,在命令最后加上 -X ,可以详细的看到报文内容。我也是通过这种方式看到在哪一条进行的端口发送的。

  客户端登陆执行的命令:

  

五、总结 

  1.主动模式:服务器只需要开启21和20 端口,虽然比较安全,但是如果客户端开启了防火墙,那么可能会无法传输数据。

  2.被动模式:默认开启一个21端口后,后续服务器会对每个用户的连接请求随机开放一个端口,服务器安全性降低。

  3.在iptables 中,我们需要为ftp 加上一个跟踪模块,即:ip_conntrack_ftp

  4.尽量避免在公网中使用ftp传输数据,因为用户及密码是明文传输的。

该文章属于作者原创,如有转载或者分享,请注明出处以及该文章链接. 作者:飞走不可 http://www.cnblogs.com/hanyifeng/p/5718313.html

参考资料:

https://www.youtube.com/watch?v=bqrlBicM8lE

http://phorum.com.tw/ShowPost/5609.aspx

http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/

Linux 为FTP 服务器添加iptables规则--案例分析的更多相关文章

  1. Linux篇---ftp服务器的搭建

    一.前述 企业中linux搭建ftp服务器还是很实用的,所以本文针对centoos7和centoos6搭建服务器教程做个总结. 二.具体 1.显示如下图则表示已安装 vsftp软件.如果未显示则需要安 ...

  2. 《Linux下FTP服务器搭建及FTP使用》

    .LOGAndy:mxtd114 <Linux下FTP服务器搭建> 0.root登录 1.安装ftp # yum -y install ftp 2.安装vsftpd # yum -y in ...

  3. 使用Linux搭建FTP服务器实现文件共享

    使用Linux搭建FTP服务器实现文件共享... ---------------- Linux中的文件共享:FTPVSFTPDVSFTPD虚拟用户 FTP可以用在Linux与Linux 和Window ...

  4. Linux启动ftp服务器530 Permission denied解决方法(已试,行)

    Linux启动ftp服务器530 Permission denied解决方法重新在虚拟机下安装了linux.现在我想启动linux自带的ftp服务器:#service  vsftpd  start . ...

  5. 适合Centos Web服务器的iptables规则

    适合Centos Web服务器的iptables规则IPT="/sbin/iptables"$IPT --delete-chain$IPT --flush$IPT -P INPUT ...

  6. 自学linux——18.FTP服务器的搭建

    Centos7下FTP服务器的搭建 一.FTP的作用 文件传输协议(File Transfer Protocol,FTP),是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用 20. ...

  7. Linux建立FTP服务器

    http://blog.chinaunix.net/uid-20541719-id-1931116.html http://www.cnblogs.com/hnrainll/archive/2011/ ...

  8. Linux 之 FTP服务器搭建

    FTP服务器搭建 参考教程:[千峰教育] 1.关闭防火墙: service iptables stop 2.关闭Selinux setenforce 0 3.安装所需要依赖及编译工具 yum inst ...

  9. Linux搭建ftp服务器简单教程及使用方法

    参考文章:https://www.waitig.com/linux-or-centos-install-vsftpd-and-setup-it.html 步骤概括如下: 安装:yum install ...

随机推荐

  1. 编写configure.ac

    configure.ac由一些宏组成(如果已经有源代码,你可以运行autoscan来产生一个configure.scan文件,在此基础修改成configure.ac将更加方便) 最基本的组成可以是下面 ...

  2. jq的attr、prop和data区别

    prop()获取在匹配的元素集中的第一个元素的属性值. 大家都知道有的浏览器只要写disabled,checked就可以了,而有的要写成disabled = "disabled", ...

  3. 解决WIFI驱动RTL8188无法在rk3168平板Android4.2启动wifi的问题

    http://blog.csdn.net/morixinguan/article/details/75228335 上一篇博文能把ko编译出来,非常兴奋的想,这一定是没问题了,结果删除原先的ko后,加 ...

  4. 新浪云使用smarty模板的方法

    在部署到sina app engine(sae)上时出现了问题,因为sae作为云计算平台式无法进行文件读写操作的,所以Smarty中输出的缓存文件就无法实现. 错误信息:“SAE_Fatal_erro ...

  5. C++中的友元函数的总结

    1.友元函数的简单介绍 1.1为什么要使用友元函数 在实现类之间数据共享时,减少系统开销,提高效率.如果类A中的函数要访问类B中的成员(例如:智能指针类的实现),那么类A中该函数要是类B的友元函数.具 ...

  6. JSON和JSONP简单总结

    jsonp和json的区别,原理,在jquery中的使用 http://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jquery.h ...

  7. BZOJ4399 魔法少女LJJ【线段树合并】【并查集】

    Description 在森林中见过会动的树,在沙漠中见过会动的仙人掌过后,魔法少女LJJ已经觉得自己见过世界上的所有稀奇古怪的事情了 LJJ感叹道"这里真是个迷人的绿色世界,空气清新.淡雅 ...

  8. PHP 5.5.38 + mysql 5.0.11 + zabbix3.0 + nginx 安装

    PHP 5.5.38 + mysql 5.0.11 + zabbix3.0 + nginx 1.首先在安装好环境下安装 zabbix3.0情况下 2. yum install mysql-devel ...

  9. java中static关键字的理解(转载)

    static关键字是很多朋友在编写代码和阅读代码时碰到的比较难以理解的一个关键字,也是各大公司的面试官喜欢在面试时问到的知识点之一.下面就先讲述一下static关键字的用法和平常容易误解的地方,最后列 ...

  10. PAT 1006 换个格式输出 C语言

    让我们用字母B来表示“百”.字母S表示“十”,用“12...n”来表示个位数字n(<10),换个格式来输出任一个不超过3位的正整数.例如234应该被输出为BBSSS1234,因为它有2个“百”. ...