Linux中使用有狀態(tài)防火墻實現(xiàn)FTP功能

本文假設(shè)大家對netfilter技術(shù)已經(jīng)有了一定了解，介紹利用netfilter的有狀態(tài)功能在inux2.4內(nèi)核上實現(xiàn)FTP。

系統(tǒng)環(huán)境：

linux7.2,安裝了iptable，squid，有兩塊網(wǎng)卡：

eth0：x.x.x.x 接internet,

eth1：192.168.0.1 接內(nèi)網(wǎng)。

firewall相關(guān)規(guī)則：

以下為引用的內(nèi)容：

　　##Ismod the firewall modules *加載模塊
modprobe ip_tables
insmod ip_conntrack
insmod ip_conntrack_ftp
insmod ip_nat_ftp
 

關(guān)于有狀態(tài)功能，重點在于后三個模塊：ip_conntrack模塊能夠使防火墻具有連接跟蹤能力。（通過輸入 "cat /proc/net/ip_conntrack" 可以查看您的機器參與的活動網(wǎng)絡(luò)連接。）加載這個模塊后，基本上所有有狀態(tài)的返回包都能識別，例：telnet,http,QQ,mail,ping,dns等。

實際上，加載了ip_conntrack模塊，ftp已經(jīng)能夠登陸，并能使用象pwd,cd等命令，但當(dāng)使用ls命令顯示文件內(nèi)容時，就會timeout。原因在于顯示文件列表的包防火墻無法識別，就會進(jìn)入默認(rèn)策略----禁止，此時就需要加載ip_conntrack_ftp模塊。

ip_conntrack_ftp模塊使防火墻能夠識別FTP某類特殊的返回包。如果防火墻上對所有出去的返回包作了偽裝，就需要加載ip_nat_ftp模塊。ip_nat_ftp模塊在出去的包作了偽裝以后，必須加載，否則防火墻無法知道返回的包該轉(zhuǎn)發(fā)到哪里。

以下為引用的內(nèi)容：
    ##Define the policy *定義默認(rèn)規(guī)則
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 

#MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
 

所有從局域網(wǎng)出去的包偽裝。

以下為引用的內(nèi)容：
#accept lan use ftp *允許所有局域網(wǎng)用戶使用FTP
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 21 -j ACCEPT
打開ftp的20,21端口

#accept come back packets from INTERNET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

允許有狀態(tài)的返回包轉(zhuǎn)發(fā)。

關(guān)于netfilter有狀態(tài)基礎(chǔ)知識，請查看相關(guān)資料。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]