Вопросы Теги

Разрешение FTP с IPTables

Предыдущие ответы действительно закрепили наиболее распространенные причины этой ситуации, с которой часто встречаются, итак, почему не делают мы лепечем немного на том, что можно делать с этим.

ЕСЛИ ДАЛИ ситуация естественного/типичного недоверия между передней стороной и бэк-офисами (хорошо описанный выше), необходимо будет на самом деле сделать что-то для убегания из шаблона. Это легче сделать в SMB, чем ситуации предприятия.

Несколько вещей будут обычно привлекать внимание управления и обеспечивать, основание для некоторых доверяют форме: (1) проявите реальный интерес и (2) покажите реальное деловое чутье.

ПРОЯВЛЕНИЕ ИНТЕРЕСА

Это не настолько твердо, как это может казаться, но это потребует изменения мышления. (Приостановите любые верования, что 'пользователи' 'глупы'.) Получают некоторое время с управлением и спрашивают, как бизнес работает. Как фирма делает деньги? Как это отличается от своих конкурентов? То, каковы лучшие три проблемных управления, пытается преодолеть?Примечание: не говорите IT здесь - и если они пытаются регулировать разговор тот путь, отложить их на ходу.

ПОКАЗ ДЕЛОВОГО ЧУТЬЯ

Предположите, что Ваш бюджет (если у Вас есть один) финансируется ВАМИ; будьте очень, очень осторожны относительно того, как каждый пенс потрачен. Прежде, чем купить что-то, наметьте Профессионалов и Cons к бизнесу (a) получения актива и (b) не получения актива. (Подсказка: некоторый вызов это экономическая модель.) Просит управление рассматривать его прежде, чем выполнить запрос для покупки.

Приложите усилия к демонстрации материала, который Вы ликвидируете из материально-технических ресурсов и/или как Вы экономите твердые деньги. Снова, будьте очень прозрачны и бесстрастны. Попросите, чтобы управление рассмотрело Ваш отчет и обеспечило обратную связь.

В SMB 'расстояние' между лицами, принимающими решения и IT не должно быть большим. Но, это до штата IT для выхода из пещеры на длительной и последовательной основе.

Это работает, и Вы будете лучшим ресурсом для него.

26
задан 9 July 2009 в 19:15
3 ответа

Вот документ, я отсылаю людей к тому, так, чтобы они могли после протокола FTP: http://slacksite.com/other/ftp.html

  • Чтобы сделать активный режим FTP, необходимо позволить входящие соединения с портом TCP 21 и исходящие соединения от порта 20.
  • Чтобы сделать пассивный режим FTP, необходимо позволить входящие соединения с портом TCP 21 и входящие соединения со случайным образом сгенерированным портом на сервере (требующий использования conntrack модуля в netfilter)

У Вас ничего нет ре: Ваша ВЫХОДНАЯ цепочка в Вашем сообщении, таким образом, я буду включать это здесь, также. Если Ваша ВЫХОДНАЯ цепочка является отбрасыванием по умолчанию затем, это имеет значение.

Добавьте эти правила к своей iptables конфигурации:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

Для поддержки пассивного режима FTP, затем, необходимо загрузить ip_conntrack_ftp модуль на начальной загрузке. Не прокомментируйте и измените строку IPTABLES_MODULES в/etc/sysconfig/iptables-config файл для чтения:

IPTABLES_MODULES="ip_conntrack_ftp"

Сохраните конфигурацию iptables и перезапустите iptables.

service iptables save
service iptables restart

Для завершенного исключения VSFTPD, как являющегося проблемой, остановите VSFTPD, проверьте, что это не слушает на порте 21 с "netstat-a" и затем выполненный a:

nc -l 21

Это запустит netcat, слушающий на порте 21, и повторит вход к Вашей оболочке. От другого хоста, TELNET, чтобы портировать 21 из Вашего сервера и проверить, что Вы получаете соединение TCP и что Вы видите вывод в оболочке, когда Вы вводите в соединении Telnet.

Наконец, возвратите VSFTPD, проверьте, что он слушает на порте 21, и попытайтесь соединиться снова. Если соединение с netcat, работавшим затем Ваши правила iptables, прекрасно. Если соединение с VSFTPD не работает после того, как netcat делает затем, что-то - неправильный w/Ваша конфигурация VSFTPD.

41
ответ дан 28 November 2019 в 20:09
  • 1
    Спасибо за человека справки, предложения, которые Вы обрисовали в общих чертах для пассивного режима, устранили мою проблему. Я ценю справку. –  IOTAMAN 9 July 2009 в 21:13
  • 2
    Перезапуск iptables вытрет любые изменения you' ve, сделанный, если Вы don' t имеют набор IPTABLES_SAVE_ON_STOP к " yes". –  Kevin M 9 July 2009 в 21:15
  • 3
    @Kevin: Абсолютно, полностью положительная сторона! > smile< I' ll отбрасывают редактирование на этом теперь. –  Evan Anderson 9 July 2009 в 21:31
  • 4
    @GLB03:Нет проблем. я живу к Отказу сервера... > smile< –  Evan Anderson 9 July 2009 в 21:52

Попробуйте это правило.Примечание: $EXTIP Ваш внешний IP-адрес для FTP-сервера.

-A INPUT -i $EXTIP -m state --state NEW,ESTABLISHED,RELATED -p TCP -s 0.0.0.0 -d $EXTIP --dport 21 -j ACCEPT
0
ответ дан 28 November 2019 в 20:09

В моем случае мне не хватало модуля ядра ip_conntrack_ftp. Его нужно загрузить. Итак, вы можете попробовать следующее: 

modprobe ip_conntrack_ftp

А также добавьте ip_conntrack_ftp в / etc / modules, чтобы он работал после перезапуска

0
ответ дан 28 November 2019 в 20:09

Теги

Похожие вопросы