Linux里面自带的防火墙iptables一般就是端口开启,对于FTP协议里的PASV(被动)模式,有2次连接,这第二次连接似乎和第一次的21端口没啥关联,21端口连接的是通信控制,第二次连接的才是数据通信,比如说,login进去后,无法看见列表就是这个原因。这第二次连接的端口是动态的,无法配置iptables。如果使用FTP服务软件的配置,强制固定数据端口,然后在iptables里面加上,就显得非常低能。我们知道智能防火墙是可以跟踪这个动态端口的。iptables会不会智能一些?
FTP协议里的Passive模式(略写为PASV被动模式)和主动模式的区别。
第一步,由客户端连接到服务器,一般默认使用21端口,这个端口用来传送控制信息。进行用户名和密码身份验证。这一步无论是主动和被动都是一样的。
第二部,主动模式:从服务器端发起数据通信请求到客户端,以源端口20,目的端口随机。这种情况,服务器端对于防火墙的配置到时不需要智能对应了,但是客户端就麻烦了,特别是客户端在NAT后的情况,往往无法顺利接通。这种方式基本上已经被淘汰了,但是微软的ftp命令还是采用主动模式,好在用的也不多。
被动模式:身份验证后,可能使用pwd命令,显示自己的位置,这个命令依然使用控制端口21完成,但是当需要进行文件夹列表的时候,因为这个数据量比较大,就要通过数据端口传送了。这时候客户端就会发出PASV命令,告知服务器使用被动模式以及一串数字,例如:(172,26,136,8,126,17),前面的4段,172.26.136.8,是服务器的IP地址,后面的126和17通过运算就是数据动态连接的端口,运算方法是126*256+17=32273。
这样来说,只要掌握这个规律,动态开启防火墙的端口也不是什么难事。
监视PASV命令的工作,iptables无法完成,必须要加载组件。
lsmod | grep ftp
看看是否已经加载,一般不通,肯定是没有加载。
有很多地方非常笼统的加载
modprobe ip_nat_ftp
这样是不精确的。可以是可以,但是加载多了,其实只需要加载nf_conntrack_ftp,就可以。
你可以手动加载
modprobe nf_conntrack_ftp
但是重启服务器就没了,这样对于维护者来说是很麻烦的。有的人说用自动执行命令,这样就落了下乘了。因为iptables本身就有加载的项目。
编辑 /etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"
默认是IPTABLES_MODULES="",内容是空的。
最容易忽视又关键的说完了,下面当然是编写iptables的过滤条目了。
iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
就这么简单啊,要追加一定要在最后一条禁止所有的前面哦。所以最好显示一下列表号
iptables -L -n -v --line-numbers
然后用
iptables -I INPUT 5 -m state --state NEW -p tcp --dport 21 -j ACCEPT
插到最后一条前面。
等等,很多地方肯定说要追加
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
的说法,其实大可不必了,除非你删除了所有的条目,一般默认第一条就是
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
关键是 RELATED,关系,就是从ip_conntrack_ftp那儿监视来的动态端口这个关系。ESTABLISHED是TCP3次握手里的ack和syn位的确认,和RELATED是没关系。
本例在Linux kernel2.6.32-573.7.1.el6.x86_64通过测试,也是centos6.7