1、先运行vsftpd服务:
#服务vsftpd start
2、通过iptables开放21号端口
(1)首先查看iptables的设置:
#iptables -nL
chain input (策略接受) )。
目标打印输出源目标
acceptall----0.0.0/0.0.0.0.0/0状态关系,ESTABLISHED
accept icmp----0.0.0.0/0.0.0.0.0/0
接受全部--0.0.0.0/00.0.0.0.0/0
accept TCP----0.0.0.0/0.0.0.0.0/0statenewtcpdpt :22
reject all----如果不满足0.0.0.0/0.0.0.0/0 reject-with icmp-host-prohibited//或更高版本的规则,则全部返回;
chain forward (策略接受) ) ) ) ) )。
目标打印输出源目标
reject all--0.0.0.0/0.0.0.0.0/0reject-with icmp-host-prohibited
chain output (策略接受) )。
目标打印输出源目标
(2)将端口号21插入输入的接受
# iptables-I input5- ptcp-- dport 21-j accept # # rule num为5,在input中为reject all--0.0.0/0.0.0/0/0
)3)插入INPUT的接受查看
#iptables -nL --line-numbers
chain input (策略接受) )。
numtargetprotoptsourcedestination
1 acceptall----0.0.0/0.0.0.0.0/0状态关系,可扩展
2 accept icmp----0.0.0.0/0.0.0.0.0/0
3 acceptall--0.0.0.0/0.0.0.0.0/0
4 accept TCP---0.0.0.0.0.0.0.0.0/0 statenewtcpdpt :225 accept TCP---0.0.0.0/0
chain forward (策略接受) ) ) ) ) )。
numtargetprotoptsourcedestination
1 reject all--0.0.0.0/0.0.0.0.0/0reject-with icmp-host-prohibited
chain output (策略接受) )。
numtargetprotoptsourcedestination
3、客户端上telnet ip 21、验证
重要信息:插入规则必须位于reject all----0.0.0/0.0.0.0/0reject-with icmp-host-prohibited之前。 不那样做就不起作用。
4、构建FTP服务
加载ip_conntrack_ftp并完成构建
#modprobe ip_conntrack_ftp
注: iptables的INPUT允许'1acceptall--0.0.0.0/0.0/0state related,ESTABLISHED '进行pasv模式的ftp连接
引用:
* * * * * * * * * * * * * * * * *
FTP协议有PORT和PASV两种工作方式,在中文中表示主动型和被动型。
端口模式: FTP服务器: TCP 21客户端:动态
PSV模式: FTP服务器: TCP 21
主动(PORT )连接过程是客户端向服务器的FTP端口(默认为21 )发送连接请求,服务器接受连接并建立命令链接。 需要传输数据时,客户端在命令链接上使用PORT命令向服务器打开了“XXXX端口。 请到这里来连接”。 因此,服务器从20端口向客户机的XXXX端口发送连接请求,建立数据链路以传送数据。
PASV )连接过程是客户端向服务器的FTP端口(默认为21 )发送连接请求,服务器接受连接并建立命令链路。 需要传输数据时,服务器在命令链接上使用PASV命令向客户端打开了“XXXX端口。 请到这里来连接”。 因此,客户机向服务器的XXXX端口发送连接请求,建立数据链路以传送数据。
* * * * * * * * * * * * * * * * *
译文: 3358 blog.csdn.net/shif _ l/article/details/29608921