亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

Linux中使用有狀態(tài)防火墻實現(xiàn)FTP功能

發(fā)布時間:  2012/8/13 12:01:38
 首先大家要認(rèn)清楚一個概念,使用FTP是從http代理出去,還是由socks代理或firewall上打開一個口轉(zhuǎn)發(fā)。從http代理出去的FTP,實際上使用的是http代理程序,象最常用的squid,是http tps代理,但是它也能代理ftp請求。當(dāng)你打開瀏覽器登陸ftp站點時,使用的就是http代理程序來處理ftp的問題。而有些程序只能設(shè)置成socks或firewall代理,象Cuteftp,wu-ftp和dos下的FTP。此類的代理才是標(biāo)準(zhǔn)的FTP代理。

本文假設(shè)大家對netfilter技術(shù)已經(jīng)有了一定了解,介紹利用netfilter的有狀態(tài)功能在inux2.4內(nèi)核上實現(xiàn)FTP。

系統(tǒng)環(huán)境:

linux7.2,安裝了iptable,squid,有兩塊網(wǎng)卡:

eth0:x.x.x.x 接internet,

eth1:192.168.0.1 接內(nèi)網(wǎng)。

firewall相關(guān)規(guī)則:

以下為引用的內(nèi)容:

  ##Ismod the firewall modules *加載模塊
modprobe ip_tables
insmod ip_conntrack
insmod ip_conntrack_ftp
insmod ip_nat_ftp
 


關(guān)于有狀態(tài)功能,重點在于后三個模塊:ip_conntrack模塊能夠使防火墻具有連接跟蹤能力。(通過輸入 "cat /proc/net/ip_conntrack" 可以查看您的機器參與的活動網(wǎng)絡(luò)連接。)加載這個模塊后,基本上所有有狀態(tài)的返回包都能識別,例:telnet,http,QQ,mail,ping,dns等。

實際上,加載了ip_conntrack模塊,ftp已經(jīng)能夠登陸,并能使用象pwd,cd等命令,但當(dāng)使用ls命令顯示文件內(nèi)容時,就會timeout。原因在于顯示文件列表的包防火墻無法識別,就會進(jìn)入默認(rèn)策略----禁止,此時就需要加載ip_conntrack_ftp模塊。

ip_conntrack_ftp模塊使防火墻能夠識別FTP某類特殊的返回包。如果防火墻上對所有出去的返回包作了偽裝,就需要加載ip_nat_ftp模塊。ip_nat_ftp模塊在出去的包作了偽裝以后,必須加載,否則防火墻無法知道返回的包該轉(zhuǎn)發(fā)到哪里。

以下為引用的內(nèi)容:
    ##Define the policy *定義默認(rèn)規(guī)則
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 

#MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
 


所有從局域網(wǎng)出去的包偽裝。

以下為引用的內(nèi)容:
#accept lan use ftp *允許所有局域網(wǎng)用戶使用FTP
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 21 -j ACCEPT
打開ftp的20,21端口

#accept come back packets from INTERNET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


允許有狀態(tài)的返回包轉(zhuǎn)發(fā)。

關(guān)于netfilter有狀態(tài)基礎(chǔ)知識,請查看相關(guān)資料。


本文出自:億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
  • 服務(wù)器/云主機 24小時售后服務(wù)電話:0371-60135900
  • 虛擬主機/智能建站 24小時售后服務(wù)電話:0371-60135900
  • 專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時客服服務(wù)熱線