当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 研究Linux下Firewall的配置

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 研究Linux下Firewall的配置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 110 ::
收藏到网摘: n/a

 

最近在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败。但是在命令行下面如果先执行passive off,一切正常。

 

答案在CU上找到的,主要是要使用 ip_conntrack_ftp

 

linux.chinaunix.net/bbs/viewthread.php?tid=812400">http://linux.chinaunix.net/bbs/viewthread.php?tid=812400

原文:

 

使用 -P INPUT DROP 引起的网路存取正常,但是 ftp 连入却失败?

 

依据前面介绍方式,只有开放 ftp port 21 服务,其他都禁止的话,一般会配置使用:

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

这样的配置,确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登入画面,不过后续要浏览档案目录清单与档案抓取时却会发生错误...

 

ftp 协定本身于 data channnel 还可以区分使用 active mode 与 passive mode 这两种传输模式,而就以 passive mode 来说,最后是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。

 

这样配置在 ftp 传输使用 active 可能正常,但是使用 passive mode 却发生错误,其中原因就是因为该主机firewall 规则配置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题。

 

要解决该问题方式,于 iptables 内个名称为 ip_conntrack_ftp 的 helper,可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截,提供给 iptables 设定 firwewall 规则的配置使用。开放做法为:

 

modprobe ip_conntrack_ftp

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

modprobe ip_conntrack_ftp

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

其中 -m state 部分另外多了 RELATED 的项目,该项目也就是状态为主动建立的封包,不过是因为与现有 ftp 这类连线架构会引发另外才产生的主动建立的项目。

 

不过若是主机 ftp 服务不在 port 21 的话,请使用下列方式进行调整:

 

CODE:

 

modprobe ip_conntrack_ftp ports=21,30000

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

 

modprobe ip_conntrack_ftp ports=21,30000

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

 

也就是主机本身提供 ftp 服务分别在 port 21 与 30000 上,让 ip_conntrack_ftp 这个 ftp helper 能够正常提供 ftp 用户端使用 passive mode 存取而不会产生问题。