阿里云服务器Linux实例中vsftpd主被动模式下iptables的设置

客户提问:
阿里云服务器Linux实例中vsftpd主被动模式下iptables的设置
阿里云技服回复:
FTP连接包括以下两种。
一个控制连接:这个连接用于传递客户端的命令和服务器端对命令的响应,比如登录使用的用户名与密码、变更目录命令CWD、PUT 、GET文件。它使用TCP 21端口。
多个数据连接:这些连接用于传输文件和其它数据,比如目录列表命令LIST。使用端口依据FTP服务端工作模式决定。
vsftpd主动与被动模式的区别在于PORT命令的发出方,或者说数据连接的主动发起方。
主动模式下,由客户端通过PORT告知服务端自己的监听端口,然后服务端通过自己定义的主动模式下的端口(默认为20)发起到客户端宣告的端口的连接。
被动模式下,服务端在接到客户端的PASV命令后,通过PORT发送端口号给客户端,客户端连接这个端口进行数据传输。

主动模式下iptables设置
这个模式下,因为是客户端需要连接服务端的21端口,同时服务端的20端口主动外联客户端的端口,所以要确保INPUT方向的21允许访问,同时OUTPUT方向的20允许通过(通常OUTPUT默认ACCEPT,所以这个不用设置。如果为DROP,则需要添加外出方向的20访问规则),以及创建的RELATED与ESTABLISHED规则。具体如下。
iptables -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

被动模式下iptables设置
针对vsftpd的设置可以使用不同策略。
vsftpd未指定被动模式的端口范围
在/etc/sysconfig/iptables-config中添加IPTABLES_MODULES=”ip_conntrack_ftp”,加载ip_conntrack_ftp模块以过滤传输与FTP控制连接相关的数据连接中经过的数据。
修改设置后执行如下命令,使新的模块加载。同时iptables需要允许访问21端口。
service iptables restart
iptables配置如下。
iptables -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
vsftpd指定被动模式的端口范围
也可以使用“vsftpd未指定被动模式的端口范围”中的方案,或者可以在iptables的INPUT链中放行对指定范围端口的访问。
比如在/etc/vsftpd/vsftpd.conf中设置如下内容。
pasv_enable=YES
pasv_min_port=6666
pasv_max_port=8888
在iptables中开放这段端口。
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 6666:8888 -j ACCEPT或 iptables -A INPUT -p tcp -m multiport 6666:8888 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

免责声明:
本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

本文适用于:
阿里云服务器 ECS

不知道如何办理开通什么是阿里云服务器 ECS?让凯铧互联专业的工程师帮您。我们提供免费的技术咨询,方案建议,让您的企业上云变得更容易,更有效,更安全!
看完上述说明如果您还有疑问,或者是需要咨询阿里云产品相关折扣、优惠或者是技术问题,请加下面的微信!我们是阿里云/腾讯云/华为云代理商联系我更有折上折优惠,新老用户均有!微信(电话):158-0160-3153。
为什么选择凯铧互联:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯服务器运维团队,公司90%成员均是超过10年具备专业运维经验的精英。作为阿里云,腾讯云,百度云,金山云,华为云重要的合作伙伴,专业从事互联网应用服务、云计算、大数据、人工智能、企业信息化建设,为企业用户提供基于大数据的企业上云解决方案。公司总部设在北京,并在内蒙设有办事处,服务全国各地企业,与互联网专业公司及主流服务商建立了良好合作关系。公司官网:www.bjkaihua.com; 腾讯云网站www.bjkaihua.net.cn; 阿里云业务网站:www.alibjyun.com。
目前像阿里云、腾讯云、华为云之类的云计算厂家后期续费,复购,升级是很贵的。而且推出的很多活动都是要求新用户购买的。推荐大家从节省成本考虑,尽量买的配置高一点的云服务器,时长尽量选3年。你现在选择高配,选择3年的差价比不过到时候续费、升级、复购时一半的费用。
为什么现在很多老用户都在想尽办法想买新用户活动下的云服务器,因为当他们业务起来了,环境熟悉了,想升级配置,想扩容业务,想续费云服务器结果发现再也买不到这么便宜的云服务器了。免费的才是最贵的就是这个道理。