研究Linux下Firewall防火墻的配置

最近在研究Linux下Firewall的配置，發(fā)現(xiàn)配置好防火墻以后ftp就有問題了，一直都不能夠用Filezilla 和 CuteFTP登錄，在列出目錄的時候一直會失敗。但是在命令行下面如果先執(zhí)行passive off，一切正常。

答案在CU上找到的，主要是要使用 ip_conntrack_ftp

原文：

使用 -P INPUT DROP 引起的網(wǎng)路存取正常，但是 ftp 連入?yún)s失�。�

依據(jù)前面介紹方式，只有開放 ftp port 21 服務(wù)，其他都禁止的話，一般會配置使用：

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

這樣的配置，確認 ftp 用戶端是可以連到 ftp 億恩科技主機并且看到歡迎登入畫面，不過后續(xù)要瀏覽檔案目錄清單與檔案抓取時卻會發(fā)生錯誤。..

ftp 協(xié)定本身于 data channnel 還可以區(qū)分使用 active mode 與 passive mode 這兩種傳輸模式，而就以 passive mode 來說，最后是協(xié)議讓 ftp client 連結(jié)到 ftp server 本身指定于大于 1024 port 的連接埠傳輸資料。

這樣配置在 ftp 傳輸使用 active 可能正常，但是使用 passive mode 卻發(fā)生錯誤，其中原因就是因為該億恩科技主機firewall 規(guī)則配置不允許讓 ftp client 連結(jié)到 ftp server 指定的連結(jié)埠才引發(fā)這個問題。

要解決該問題方式，于 iptables 內(nèi)個名稱為 ip_conntrack_ftp 的 helper，可以針對連入與連外目的 port 為 21 的 ftp 協(xié)定命令溝通進行攔截，提供給 iptables 設(shè)定 firwewall 規(guī)則的配置使用。開放做法為：

modprobe ip_conntrack_ftp

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED，RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

modprobe ip_conntrack_ftp

iptables -P INPUT DROP

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]