【已解决】如何用iptables开放ftp服务

rhlei

前2天在一个主题中信口开河了一下，结果被人指出来了。自己一实验，果然是不可以，所以请各位指点下。

1.在 -P INPUT DROP的时候，如果开启ftp服务？

2.若方案一不好实现，在生产中是如何实现用iptables控制ftp服务开启的？

3.生产中iptables是否需要设置-P INPUT DROP？


感谢jerrywjl的指点！


虽然很简单，还是整理出来吧，因为看到论坛中有很多人对这个问题比较糊涂。

[ 本帖最后由 rhlei 于 2009-4-23 20:24 编辑 ]

chenyx

rhel的iptables脚本最后是用
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
来限制访问的

jerrywjl

针对主动模式来讲，需要开启20端口的进出访问即可；针对被动模式来讲，需要开放21之余在ftp中指定一个数据端口范围，再针对这个端口范围作允许。

xuledw

原帖由 jerrywjl 于 2009-4-20 14:51 发表
针对主动模式来讲，需要开启20端口的进出访问即可；针对被动模式来讲，需要开放21之余在ftp中指定一个数据端口范围，再针对这个端口范围作允许。

这个说的全面 是该根据你自己的开放情况来决定iptables的规则

rhlei

看来你今天很闲的样子

谢过，听人家说难实现，但是现在有思路了。晚上回来实验一下。走了~~

vermouth

需要设置-P INPUT DROP

ftp 的主要端口为 20 21，然后就是根据上下文允许了~

rhlei

实验成功！


主动模式：
在配置文件中加入：
pasv_enable=no
防火墙设置：
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -p udp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
被动模式：
在配置文件中加入：
pasv_enable=yes
pasv_min_port=40000
pasv_max_port=41000


防火墙设置：
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -p udp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 40000:41000 -j ACCEPT

marsaber

昨天也刚测试了下！
思路一样滴。
甚至脚本都差不多。

kns1024wh

原帖由 marsaber 于 2009-4-20 19:37 发表
昨天也刚测试了下！
思路一样滴。
甚至脚本都差不多。

实现方式都是一样的
当然会差不多的呀

cst05001

在/etc/sysconfig/iptables-config里面添加ip_conntrack_ftp模块
之后只需要添加规则
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

这样既可。

这个模块会自动去跟踪21端口这个程序再打开的端口，作为ESTABLISHED状态通过。

哈哈哈哈哈哈哈哈哈
只要两条规则，搞定主动与被动模式~~~

[ 本帖最后由 cst05001 于 2009-4-22 23:58 编辑 ]