- 论坛徽章:
- 0
|
[color="#0001FF"]一、FTP使用两个T C P连接F T P是文件传输的I n t e r n e t标准。FTP与多数其他T C P应用不同,它在客户进程和服务器进程之间使用两个T C P连接.第一个是控制连接,它一直持续到客户进程与服务器进程之间的会话完成为止。另一个是数据连接,按需可以随时创建和撤消。每当一个文件传输时,就创建一个数据连接。其中,控制连接被称为主连接。而数据连接被称为子连接。[color="#0001FF"]二、[color="#0001FF"]FTP具有两种连接模式这里是指FTP的数据连接分为两种模式(主动和被动)。默认采用主动连接模式。以下摘引自:
http://www.linuxqq.net/archives/48.html
数据连接分为两种模式:主动连接(PORT)和被动连接(PASV)。Port模式:ftp server:tcp 21 client:dynamicPasv模式:ftp server:tcp 21 [color="#0001FF"]PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户 端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条 数据链路来传送数据。[color="#0001FF"]PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务 器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来 传送数据。[color="#0001FF"]三、相关防火墙配置:[color="#FF0102"]数据连接是子连接,它的连接状态在连接初期被识别为RELATED,而不是NEW:[color="#FF0102"] 关[color="#000102"]于RELATED的实现:netfilter为连接跟踪增加了一个特殊的[color="#000102"]helper模块,以便能检测到主连接(这里是ftp的控制连接)的子连接(这里是ftp的数据连接),然后将子连接的状态标识为RELATED。[color="#FF0102"]子连接的状态演变: 主动连接:服务器发送的第一个syn包被识别为RELATED,客户机发送ack/syn时连接变为ESTABLISHED。 被动连接:客户机发送的第一个syn包被识别为RELATED,服务器发送ack/syn时连接变为ESTABLISHED。[color="#FF0102"]iptables规则: #allow all ftp incoming connections iptables -A INPUT -p tcp –dport 21 -m state –state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp –sport 21 -m state –state NEW,ESTABLISHED -j ACCEPT # Enable active ftp transfers iptables -A INPUT -p tcp –dport 20 -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp –sport 20 -m state –state ESTABLISHED -j ACCEPT # Enable passive ftp transfers iptables -A INPUT -p tcp –sport 1024:65535 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp –sport 1024:65535 –dport 1024:65535 -m state –state ESTABLISHED,RELATED -j ACCEPT[color="#FF0102"]
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u3/97771/showart_2099304.html |
|
免费注册
发表于 2009-11-20 13:44