主页 > 学习 | 工作 > VSFTPD防火墙规则设定

VSFTPD防火墙规则设定

公司外网FTP服务一般是不开放,很多时候用scp直接传文件的,由于软件部许多人对linux系统不熟悉,所以搭建了vsftpd服务,在设置iptables规则的时候就需要注意,并不是开放21端口就OK了。

ftp的列目录、上传下载文件都需要一个随机的端口,所以只是开放了21端口,当连接的时候会提示登陆成功但列目录失败(超时)。我们需要在vsftpd.conf中指定其随机端口的范围:

[root@anjing.me ~]# vim /etc/vsftpd/vsftpd.conf

在配置文件末尾加上如下参数:

pasv_min_port=30000
pasv_max_port=31000

重启vsftpd

[root@anjing.me ~]# service vsftpd restart
关闭 vsftpd:                                              [确定]
为 vsftpd 启动 vsftpd:                                [确定]

编辑iptables规则,允许30000~30001端口段通过

[root@anjing.me ~]# iptables -A INPUT -p tcp –dport 30000:31000 -j ACCEPT
[root@anjing.me ~]# iptables -A OUTPUT -p tcp –sport 30000:31000 -j ACCEPT[root@anjing.me ~]# service iptables save

加载下ftp模块,如果需要ftp能被NAT

modprobe ipt_MASQUERADE

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

原创文章,转载请注明: 转载自三叶草

本文链接地址:http://www.anjing.me/1384.html

特别声明:商业网站转载需经作者同意,否则视为侵权!

相关日志

, , ,

评论:2

参与评论
  1. 回复 三叶草 12/04/16

    注意:centos5.4版本防火墙规制是这样滴,

    -A RH-Firewall-1-INPUT -p tcp -m tcp –dport 30001:31000 -j ACCEPT
    如果写成INPUT -p tcp -m tcp –dport 30001:31000 -j ACCEPT不起作用,新版本可以这样写。
    可以开启防火墙查看其默认规制

  2. 回复 三叶草 12/04/16

    出现这种情况,证明防火墙规制写错了…:
     
    [右] 227 Entering Passive Mode (33,33,33,33,117,192)
    [右] 正在打开数据连接 IP: 12.22.7.4 端口: 30144
    [右] 数据 Socket 错误: 连接超时
    [右] 列表错误
    [右] PASV
    [右] 227 Entering Passive Mode (12,22,7,4,117,98)
    [右] 正在打开数据连接 IP: 12.22.7.4 端口: 30050
    [右] 数据 Socket 错误: 连接超时
    [右] 列表错误
    [右] PASV 模式失败, 尝试 PORT  模式。
    [右] 监听端口: 50170, 等待连接。
    [右] PORT 192,168,1,120,195,250
    [右] 500 Illegal PORT command.
    [右] 列表错误
    [右] QUIT
     

发表评论

邮箱地址不会被公开。

*

引用:0

下面所列的是引用到本博客的链接
VSFTPD防火墙规则设定 来自 三叶草
顶部