论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-08-22 11:11 |只看该作者 |倒序浏览

本帖最后由 13025700481 于 2010-08-22 18:59 编辑

在服务器上有这样一条iptables规则。

$IPTABLES -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT

这个按照我的理解应该是添加一条规则为“协议为tcp并且端口为21的只接受那些设置了SYN位而清除了ACK和FIN位的TCP的为了发起新连接的数据包”。
再结合上面的规则，不属于已建立的连接的数据包都要丢弃。

那时我不明白，以为只需要用到21端口。

再过了一段时间。

在没设置防火墙规则的时侯，发现用tcpdump监控流量，服务器会在20端口向客户机发送一个TCP连接请求，用它来传输数据。

而这个端口是被过滤的。

当我添加了一条规则后它却还是照样不行。

在服务器上用tcpdump查看，20端口还是没有被打开。因为没有数据包从那个端口发出。

之后在服务器上添加规则，单独列出20端口，让它完全暴露。

在客户机上用tcpdump查看，还是没有数据包从20端口发出，于是就无法列出文件了。

用iptables -L查看被启用的所有规则，20端口的向外的SYN数据包是被允许通过的啊。。。

但为什么就是不行呢？

文库|博客

chenyx

版主

论坛徽章:: 381

2楼 [报告]

发表于 2010-08-22 20:35 |只看该作者

iptables有个ftp的模块,楼主加载下看看

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

13025700481

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2010-08-23 14:32 |只看该作者

搞定。

#!/bin/sh

IPTABLES=/sbin/iptables
IP6TABLES=/sbin/ip6tables

echo "[+] Flushing existing iptables rules..."

$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

echo "[+] Disabling IPv6 traffic..."

$IP6TABLES -P INPUT DROP
$IP6TABLES -P OUTPUT DROP
$IP6TABLES -P FORWARD DROP

echo "[+] Load connection-tracking modules..."
#Loading when boot
#Edit /etc/sysconfig/iptables-config
#Add:
#IPTABLES_MOUDULES="ip_conntrack_ftp"
modprobe ip_conntrack_ftp

echo "[+] Setting up INPUT chain..."

$IPTABLES -A INPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options --log-tcp-sequence
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -i eth0 -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options --log-tcp-sequence

$IPTABLES -A INPUT -i lo -j ACCEPT

echo "[+] Setting up OUTPUT chain..."

$IPTABLES -A OUTPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options --log-tcp-sequence
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 43 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 4321 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

$IPTABLES -A OUTPUT -o eth0 -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options --log-tcp-sequence

$IPTABLES -A OUTPUT -o lo -j ACCEPT