香港虚拟主机
本站公告
新闻资讯
虚拟主机帮助
域名帮助
服务器帮助
邮箱帮助
建站帮助
网站推广帮助
VPS帮助
特色主机帮助
网站备案专题
会员帮助信息
代理帮助信息
成功案例
我司获香港虚拟主机排行榜十…
香港虚拟主机金秋促销活动正…
百度整治给SEO带来了新的希望
百度同时收录网站带WWW和不带…
百度对原创内容的判断标准 如…
如何建设网站 网站建设三步曲
如何挑选老域名 老域名有那些…
域名常见故障与分析
虚拟主机基本参数介绍
交换链接的技巧 谈一下选择交…
您现在的位置: 江南数联 >> 帮助中心 >> 服务器帮助 >> 正文

Linux下Firewall防火墙的配置

  作者:admin    来源:本站原创    点击次数:29     更新时间:2012-10-13 7:54:49  
     
 
关注石头有礼
 
 

Linux下Firewall防火墙的配置

linux系统由于免费开源,功能强大,特别是他对PHP的完美支持远高于WIN系统,所在在PHP开发的站点中得到广泛应用,这二年PHP站发展比较快,像国内很多知名的开源程序无一列外的使用PHP环境开发,所以如何有效的加强LINUX系统的安全就成了我们不是不去这习学的课题,以前由于使LINUX系统的用户少,所以研究他的黑客也少,相对WIN要安全很多,但随着近二年LINUX的使用率不断提高从事这方面研究的黑客也越来越多,安全也受到严重的影响.下在就讲一下通过FIREWALL防火来配置安全.

Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败。但是在命令行下面如果先执行passive off,一切正常。

  答案在CU上找到的,主要是要使用 ip_conntrack_ftp

  原文:

  使用 -P INPUT DROP 引起的网路存取正常,但是 ftp 连入却失败?

  依据前面介绍方式,只有开放 ftp port 21 服务,其他都禁止的话,一般会配置使用:

  iptables -P INPUT DROP

  iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

  iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  iptables -P INPUT DROP

  iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

  iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  这样的配置,确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登入画面,不过后续要浏览档案目录清单与档案抓取时却会发生错误...

  ftp 协定本身于 data channnel 还可以区分使用 active mode 与 passive mode 这两种传输模式,而就以 passive mode 来说,最后是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。

  这样配置在 ftp 传输使用 active 可能正常,但是使用 passive mode 却发生错误,其中原因就是因为该主机firewall 规则配置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题。

  要解决该问题方式,于 iptables 内个名称为 ip_conntrack_ftp 的 helper,可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截,提供给 iptables 设定 firwewall 规则的配置使用。开放做法为:

  modprobe ip_conntrack_ftp

  iptables -P INPUT DROP

  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  iptables -A INPUT -i lo -j ACCEPT

  iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  modprobe ip_conntrack_ftp

  iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  iptables -A INPUT -i lo -j ACCEPT

  iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  其中 -m state 部分另外多了 RELATED 的项目,该项目也就是状态为主动建立的封包,不过是因为与现有 ftp 这类连线架构会引发另外才产生的主动建立的项目。

  不过若是主机 ftp 服务不在 port 21 的话,请使用下列方式进行调整:

  CODE:

  modprobe ip_conntrack_ftp ports=21,30000

  iptables -P INPUT DROP

  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  iptables -A INPUT -i lo -j ACCEPT

  iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

  modprobe ip_conntrack_ftp ports=21,30000

  iptables -P INPUT DROP

  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  iptables -A INPUT -i lo -j ACCEPT

  iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

  也就是主机本身提供 ftp 服务分别在 port 21 与 30000 上,让 ip_conntrack_ftp 这个 ftp helper 能够正常提供 ftp 用户端使用 passive mode 存取而不会产生问题

本章关健词:江南数联 域名注册 海外虚拟主机 G享虚拟主机 国内虚拟主机 企业邮箱 网站建设 自助建站 400电话申请 微聚商

 
  版权申请:Linux下Firewall防火墙的配置出自江南数联dns06.com未经授权请勿转载!  
 
  • 上一篇帮助:

  • 下一篇帮助:
  •  
         

    扫一扫关注公众号有礼
    Copyright@2004-2015 江南数联 版权所有未经授权请勿复制!
    《中华人民共和国增值电信业务经营许可证》ISP证编号:皖B2-20080036 湘B2-20160056
    公司全称:永州石头网络技术有限公司(运营部)
    地址: 中国·湖南省永州市育才路158号 服务热线:400 616 9260
    安徽公司:安徽仁科信息技术有限公司 地址:合肥万和新城广场A-608 
    关注词:网站空间虚拟空间空间域名域名空间域名主机网站空间哪家好网站空间多少钱