解決iptables和vsftpd設置的問題

解決iptables和vsftpd設置的問題

博客分類：
 
linux/centos/ubuntu
防火牆J#工做 
解決iptables和vsftpd設置的問題 

修改 
vi /etc/sysconfig/iptables-config 
IPTABLES_MODULES="ip_conntrack_ftp" 

iptables -P INPUT DROP 
iptables -A INPUT -p tcp --dport 20 -j ACCEPT 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
service iptables save 
service iptables restart 



附件 
FTP兩種方式的工做原理： 
Port模式 

FTP 客戶端首先動態的選擇一個端口（通常是1024以上的）和FTP服務器的TCP 21端口創建鏈接，經過這個通道發送命令，客戶端須要接收數據的時候在這個通道上發送PORT命令。 PORT命令包含了客戶端用什麼端口接收數據。在傳送數據的時候，服務器端經過本身的TCP 20端口鏈接至客戶端的指定端口發送數據。 FTP server必須和客戶端創建一個新的鏈接用來傳送數據。 
Passive模式 
在創建控制通道的時候和Standard模式相似，但創建鏈接後發送的不是Port命令，而是Pasv命令。FTP服務器收到Pasv命令後，隨機打開一個高端端口（端口號大於1024）而且通知客戶端在這個端口上傳送數據的請求，客戶端鏈接FTP服務器此端口，而後FTP服務器將經過這個端口進行數據的傳送，這個時候FTP server再也不須要創建一個新的和客戶端之間的鏈接。 
不少防火牆在設置的時候都是不容許接受外部發起的鏈接的，因此許多位於防火牆後或內網的FTP服務器不支持PASV模式，由於客戶端沒法穿過防火牆打開FTP服務器的高端端口；而許多內網的客戶端不能用PORT模式登錄FTP服務器，由於從服務器的TCP 20沒法和內部網絡的客戶端創建一個新的鏈接，形成沒法工做