Iptables cho phép FTP đến

Tôi muốn cho phép lưu lượng FTP đến.

CentOS 5.4:

Đây là /etc/sysconfig/iptablestập tin của tôi .

# Generated by iptables-save v1.3.5 on Thu Oct  3 21:23:07 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [133:14837]
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
COMMIT
# Completed on Thu Oct  3 21:23:07 2013

Ngoài ra, theo mặc định, mô-đun ip_conntrack_netbios_n đang được tải.

#service iptables restart

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

Nhưng vấn đề không nằm ở mô-đun đó, vì tôi đã thử dỡ nó và vẫn không gặp may.

Nếu tôi tắt iptables, tôi có thể chuyển bản sao lưu của mình từ máy khác sang FTP. Nếu iptables thi hành, thì chuyển không thành công.

Máy chủ ftp của bạn cần một kênh để truyền dữ liệu. Cổng 21được sử dụng để thiết lập kết nối. Vì vậy, để thực hiện chuyển dữ liệu, bạn cũng cần phải bật cổng 20. Xem cấu hình sau

Trước tiên hãy tải mô-đun sau để đảm bảo các kết nối ftp thụ động không bị từ chối

modprobe ip_conntrack_ftp

Cho phép kết nối FTP trên cổng 21đến và đi

iptables -A INPUT  -p tcp -m tcp --dport 21 -m conntrack --ctstate ESTABLISHED,NEW -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"

Cho phép cổng FTP 20cho các kết nối hoạt động đến và đi

iptables -A INPUT  -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"

Cuối cùng, cho phép lưu lượng truy cập thụ động FTP

iptables -A INPUT  -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow passive inbound connections"

Để biết thêm về các vấn đề về FTP và tường lửa, hãy xem: http://slacksite.com/other/ftp.html#active

Chỉnh sửa: Đã thêm NEWvào quy tắc đầu vào cổng 21.

Tôi đã thấy các quy tắc rộng lớn như vậy đã có trong một số Blog, v.v. và tự hỏi tại sao không sử dụng

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

cùng với các nf_conntrack_ftpmô-đun. Điều này ngắn gọn và dễ đọc hơn, nói chung là một điều tốt, đặc biệt là với tường lửa ...

FWIW, có vẻ như đã có một sự thay đổi trong kernel 4.7, do đó bạn cần phải đặt net.netfilter.nf_conntrack_helper=1qua sysctl(ví dụ: đặt nó vào /etc/sysctl.d/conntrack.conf) hoặc sử dụng

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp

(xem tại đây để biết thêm chi tiết)

Máy khách FTP:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

MÁY CHỦ FTP:

lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Để chuyển đổi giữa chế độ thụ động và hoạt động ở phía máy khách

ftp> passive
Passive mode on.
ftp> passive
Passive mode off.

Thêm MỚI đã sửa nó, tôi tin.

Bây giờ, tập tin iptables của tôi trông như thế này ..

# Generated by iptables-save v1.3.5 on Thu Oct  3 22:25:54 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [824:72492]

-A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Oct  3 22:25:54 2013

Nhập nó dưới dạng câu trả lời, vì quá nhiều ký tự không được phép bình luận .. Cảm ơn bạn rất nhiều vì sự giúp đỡ của bạn.

Nếu bạn cần cả kết nối chủ động và thụ động, và đã chấp nhận ESTABLISHEDkết nối, chẳng hạn như:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Sau đó, bạn chỉ cần mở cổng 21 và thêm một quy tắc đặc biệt cho các cổng thụ động. Không có quy tắc nào là cần thiết cho cổng 20 vì nó đã được chấp nhận bởi ESTABLISHEDquy tắc trên.

Đầu tiên chấp nhận kết nối mới trên port 21:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Sau đó thêm trình trợ giúp CT cho các cổng thụ động 1024::

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
iptables -A INPUT -p tcp -m conntrack --ctstate RELATED -m helper --helper ftp --dport 1024: -j ACCEPT

Xem thêm:

• https://github.com/rtsisyk/linux-iptables-contrack-Exloit
• http://home.regit.org/wp-content/uploads/2011/11/secure-conntrack-helpers.html

Lưu ý: bạn phải đặt 1024:như trong máy chủ FTP của mình: tìm kiếm các cổng thụ động mặc định trong cấu hình FTP của bạn. Khác bạn sẽ mở quá nhiều cổng có thể không liên quan đến FTP.

Lưu ý quan trọng: Tôi đã không thêm OUTPUTquy tắc khi mặc định của mình đi cùng iptables -P OUTPUT ACCEPT. Có nghĩa là tôi tin tưởng những gì đang đi ra khỏi hộp của tôi. Đó có thể không phải là một lựa chọn tốt, đặc biệt là trong thiết lập NAT.

Lưu ý rất quan trọng: FTPS sẽ không hoạt động với thiết lập như vậy, vì cổng thụ động bị ẩn (được mã hóa), do đó không có cách nào iptablesđể đoán cổng tốt. Xem Thay đổi IPTables để cho phép FTP qua TLS bằng cổng thụ động và https://serverfault.com/questions/811431/are-my-iptables-for-ftps-with-tls-ok