1 2 345 / 5 页下一页

iptables开了20和21端口，但ftp只可连接，不能显示文件出来 [复制链接]

redbean

白手起家

论坛徽章:: 0

31楼 [报告]

发表于 2005-12-18 15:18 |只看该作者

加上这条试试
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

枫影谁用了

富足长乐

论坛徽章:: 1

32楼 [报告]

发表于 2005-12-19 09:09 |只看该作者

原帖由 platinum 于 2005-12-11 10:07 发表

我可以坦白的告诉你，不是用什么 ftp 做 server 的问题，是 server 端和 client 端的防火墙的问题
正如 bingosek 所说，ftp 协议是不认什么 server type 的，他总是用 TCP/21 去连，然后根据客户端的设置来决定 ...

或許吧.
那麽如果是這樣一個情況:
nat的機器是的forward全是ACCEPT的,照你的理論上說ftp是完全可以連接的是不?

我已經知道我的問題所在了,是對協議分析不透低.

[ 本帖最后由枫影谁用了于 2005-12-19 09:18 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

33楼 [报告]

发表于 2005-12-19 11:00 |只看该作者

原帖由 枫影谁用了 于 2005-12-19 09:09 发表
那麽如果是這樣一個情況:
nat的機器是的forward全是ACCEPT的,照你的理論上說ftp是完全可以連接的是不?

是的，如果都是 ACCEPT，自然而然就可以连接了
如果最后是 DROP，那么在 DROP 前必须允许 RELATED,ESTABLISHED 状态的数据包通过先，同时要载入 ip_nat_ftp 模块才可以

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

枫影谁用了

富足长乐

论坛徽章:: 1

34楼 [报告]

发表于 2005-12-19 11:55 |只看该作者

原帖由 platinum 于 2005-12-19 11:00 发表

是的，如果都是 ACCEPT，自然而然就可以连接了
如果最后是 DROP，那么在 DROP 前必须允许 RELATED,ESTABLISHED 状态的数据包通过先，同时要载入 ip_nat_ftp 模块才可以

不一定吧.起碼我現在的環境是這樣的.

如果在:
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to 192.168.0.*呢?

那麽這個和FORWARD又有何關系?

注:我不是擡杠!!!只是偶......

yushin.hk是我的ftp,感興趣的話可以試試連接.

[ 本帖最后由枫影谁用了于 2005-12-19 11:58 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

35楼 [报告]

发表于 2005-12-19 12:49 |只看该作者

原帖由 枫影谁用了 于 2005-12-19 11:55 发表
如果在:
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to 192.168.0.*呢?

那麽這個和FORWARD又有何關系?

你可以把针对 192.168.0.* 的 IP 在 FORWARD 链里 DROP 一下，然后就知道 PREROUTING 和 FORWARD 有没有关系了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lyking

稍有积蓄

论坛徽章:: 0

36楼 [报告]

发表于 2005-12-20 20:06 |只看该作者

原帖由 platinum 于 2005-12-19 12:49 发表

你可以把针对 192.168.0.* 的 IP 在 FORWARD 链里 DROP 一下，然后就知道 PREROUTING 和 FORWARD 有没有关系了

严重同意白金的说法。在处理过程中是先经过NAT转换，再经FORWARD过滤。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lyking

稍有积蓄

论坛徽章:: 0

37楼 [报告]

发表于 2005-12-20 20:25 |只看该作者

原帖由 platinum 于 2005-12-7 15:29 发表
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

这两个模块在一种情况下会失效，就是当ftp的控制通道被加了密的时候。
道理很简单，控制通道加了密，这些模块怎么分析上层协议？
我在vsftp中试过，当控制通道被加密时，开启防火墙是没有办法建立数据通道的。好在vsftp可以指定passive模式下在哪一段端口范围来侦听数据连接，这样就可以在防火墙中将前往这段端口的连接DNAT到目的主机。
不知proftp是否也会对控制通道加密？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

38楼 [报告]

发表于 2005-12-20 21:31 |只看该作者

原帖由 lyking 于 2005-12-20 20:25 发表

这两个模块在一种情况下会失效，就是当ftp的控制通道被加了密的时候。
道理很简单，控制通道加了密，这些模块怎么分析上层协议？
我在vsftp中试过，当控制通道被加密时，开启防火墙是没有办法建立数据通道的。 ...

分析的很对
ip_conntrack_ftp 实际是根据 RFC959 阐述的结构来跟踪数据的，当发现是 FTP 的时候才开始锁定这个 connection

另外，还有一种情况会匹配不到，因为 module 载入时默认时跟踪 TCP/21 的数据，但如果 FTP 是个 !TCP/21 的端口，而又未修改载入 ip_conntrack_ftp 时的参数，那么 FTP-DATA 就无法被匹配到了，因此这种环境下也无法穿透防火墙