仓酷云

标题: 带来一篇研讨Linux下Firewall防火墙的设置 [打印本页]

作者: 金色的骷髅 时间: 2015-1-16 11:48
标题: 带来一篇研讨Linux下Firewall防火墙的设置
要多google，因为我不可能，也不可以给你解答所有内容，我只能告诉你一些关键点，甚至我会故意隐瞒答案，因为在寻找答案的过程中。
比来在研讨Linux下Firewall的设置，发明设置好防火墙今后ftp就有成绩了，一向都不克不及够用Filezilla和CuteFTP登录，在列出目次的时分一向会失利。可是在命令行上面假如先实行passiveoff,统统一般。
　　谜底在CU上找到的,次要是要利用ip_conntrack_ftp
　　原文：
　　利用-PINPUTDROP引发的网路存取一般，可是ftp连进却失利?
　　根据后面先容体例，只要开放ftpport21服务，其他都克制的话，一样平常会设置利用：
　　iptables-PINPUTDROP
　　iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT
　　iptables-AINPUT-ptcp--dport21-jACCEPT
　　iptables-PINPUTDROP
　　iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT
　　iptables-AINPUT-ptcp--dport21-jACCEPT
　　如许的设置，确认ftp用户端是能够连到ftp主机而且看到接待登进画面，不外后续要扫瞄档案目次清单与档案抓取时却会产生毛病...
　　ftp协议自己于datachannnel还能够辨别利用activemode与passivemode这两种传输形式，而就以passivemode来讲，最初是协定让ftpclient保持到ftpserver自己指定于年夜于1024port的毗连埠传输材料。
　　如许设置在ftp传输利用active大概一般，可是利用passivemode却产生毛病，个中缘故原由就是由于该主机firewall划定规矩设置不同意让ftpclient保持到ftpserver指定的保持埠才激发这个成绩。
　　要办理该成绩体例，于iptables内个称号为ip_conntrack_ftp的helper，能够针对连进与连外目标port为21的ftp协议命令相同举行拦阻，供应给iptables设定firwewall划定规矩的设置利用。开放做法为：
　　modprobeip_conntrack_ftp
　　iptables-PINPUTDROP
　　iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
　　iptables-AINPUT-ilo-jACCEPT
　　iptables-AINPUT-ptcp--dport21-jACCEPT
　　modprobeip_conntrack_ftp
　　iptables-PINPUTDROP
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
　　iptables-AINPUT-ilo-jACCEPT
　　iptables-AINPUT-ptcp--dport21-jACCEPT
　　个中-mstate部分别的多了RELATED的项目，该项目也就是形态为自动创建的封包，不外是由于与现有ftp这类连线架构会激发别的才发生的自动创建的项目。
　　不外如果主机ftp服务不在port21的话，请利用以下体例举行调剂：
　　CODE:
　　modprobeip_conntrack_ftpports=21,30000
　　iptables-PINPUTDROP
　　iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
　　iptables-AINPUT-ilo-jACCEPT
　　iptables-AINPUT-ptcp--dport21-jACCEPT
　　iptables-AINPUT-ptcp--dport30000-jACCEPT
　　modprobeip_conntrack_ftpports=21,30000
　　iptables-PINPUTDROP
　　iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
　　iptables-AINPUT-ilo-jACCEPT
　　iptables-AINPUT-ptcp--dport21-jACCEPT
　　iptables-AINPUT-ptcp--dport30000-jACCEPT
　　也就是主机自己供应ftp服务分离在port21与30000上，让ip_conntrack_ftp这个ftphelper可以一般供应ftp用户端利用passivemode存取而不会发生成绩
</p>
初学阶段只要把上课时候学习过的命令练熟就可以了.单靠学习各种命令而成为高手是不可能的。

作者: 变相怪杰 时间: 2015-1-18 08:24
让我树立了很大的信心学好这门课程，也学到了不少专业知识和技能。?

作者: 活着的死人 时间: 2015-1-21 21:17
让我树立了很大的信心学好这门课程，也学到了不少专业知识和技能。?

作者: 愤怒的大鸟 时间: 2015-1-30 22:42
我是学习嵌入式方向的，这学期就选修了这门专业任选课。

作者: 不帅 时间: 2015-2-6 16:37
我感觉linux的学习,学习编程~!~!就去学习C语言编程!!

作者: 老尸 时间: 2015-2-17 09:15
老实说，第一个程序是在C中编译好的，调试好了才在Linux下运行，感觉用vi比较麻烦，因为有错了不能调试，只是提示错误。

作者: 分手快乐 时间: 2015-3-5 19:02
我学习Linux的心得体会，希望对大家的学习有所帮助，由于水平有限，本文难免有所欠缺，望请指正。

作者: 再见西城 时间: 2015-3-12 12:03
如果你想深入学习Linux,看不懂因为文档实在是太难了。写的最好的、最全面的文档都是英语写的,最先发布的技术信息也都是用英语写的。

作者: 第二个灵魂 时间: 2015-3-19 22:14
请问谁有Linux的学习心得的吗？简单的说说？

欢迎光临仓酷云 (http://ckuyun.com/)