金色的骷髅 发表于 2015-1-16 11:48:56

带来一篇研讨Linux下Firewall防火墙的设置

要多google,因为我不可能,也不可以给你解答所有内容,我只能告诉你一些关键点,甚至我会故意隐瞒答案,因为在寻找答案的过程中。
比来在研讨Linux下Firewall的设置,发明设置好防火墙今后ftp就有成绩了,一向都不克不及够用Filezilla和CuteFTP登录,在列出目次的时分一向会失利。可是在命令行上面假如先实行passiveoff,统统一般。
  谜底在CU上找到的,次要是要利用ip_conntrack_ftp
  原文:
  利用-PINPUTDROP引发的网路存取一般,可是ftp连进却失利?
  根据后面先容体例,只要开放ftpport21服务,其他都克制的话,一样平常会设置利用:
  iptables-PINPUTDROP
  iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT
  iptables-AINPUT-ptcp--dport21-jACCEPT
  iptables-PINPUTDROP
  iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT
  iptables-AINPUT-ptcp--dport21-jACCEPT
  如许的设置,确认ftp用户端是能够连到ftp主机而且看到接待登进画面,不外后续要扫瞄档案目次清单与档案抓取时却会产生毛病...
  ftp协议自己于datachannnel还能够辨别利用activemode与passivemode这两种传输形式,而就以passivemode来讲,最初是协定让ftpclient保持到ftpserver自己指定于年夜于1024port的毗连埠传输材料。
  如许设置在ftp传输利用active大概一般,可是利用passivemode却产生毛病,个中缘故原由就是由于该主机firewall划定规矩设置不同意让ftpclient保持到ftpserver指定的保持埠才激发这个成绩。
  要办理该成绩体例,于iptables内个称号为ip_conntrack_ftp的helper,能够针对连进与连外目标port为21的ftp协议命令相同举行拦阻,供应给iptables设定firwewall划定规矩的设置利用。开放做法为:
  modprobeip_conntrack_ftp
  iptables-PINPUTDROP
  iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
  iptables-AINPUT-ilo-jACCEPT
  iptables-AINPUT-ptcp--dport21-jACCEPT
  modprobeip_conntrack_ftp
  iptables-PINPUTDROP
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
  iptables-AINPUT-ilo-jACCEPT
  iptables-AINPUT-ptcp--dport21-jACCEPT
  个中-mstate部分别的多了RELATED的项目,该项目也就是形态为自动创建的封包,不外是由于与现有ftp这类连线架构会激发别的才发生的自动创建的项目。
  不外如果主机ftp服务不在port21的话,请利用以下体例举行调剂:
  CODE:
  modprobeip_conntrack_ftpports=21,30000
  iptables-PINPUTDROP
  iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
  iptables-AINPUT-ilo-jACCEPT
  iptables-AINPUT-ptcp--dport21-jACCEPT
  iptables-AINPUT-ptcp--dport30000-jACCEPT
  modprobeip_conntrack_ftpports=21,30000
  iptables-PINPUTDROP
  iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
  iptables-AINPUT-ilo-jACCEPT
  iptables-AINPUT-ptcp--dport21-jACCEPT
  iptables-AINPUT-ptcp--dport30000-jACCEPT
  也就是主机自己供应ftp服务分离在port21与30000上,让ip_conntrack_ftp这个ftphelper可以一般供应ftp用户端利用passivemode存取而不会发生成绩
</p>
初学阶段只要把上课时候学习过的命令练熟就可以了.单靠学习各种命令而成为高手是不可能的。

变相怪杰 发表于 2015-1-18 08:24:30

让我树立了很大的信心学好这门课程,也学到了不少专业知识和技能。?

活着的死人 发表于 2015-1-21 21:17:35

让我树立了很大的信心学好这门课程,也学到了不少专业知识和技能。?

愤怒的大鸟 发表于 2015-1-30 22:42:11

我是学习嵌入式方向的,这学期就选修了这门专业任选课。

不帅 发表于 2015-2-6 16:37:45

我感觉linux的学习,学习编程~!~!就去学习C语言编程!!

老尸 发表于 2015-2-17 09:15:50

老实说,第一个程序是在C中编译好的,调试好了才在Linux下运行,感觉用vi比较麻烦,因为有错了不能调试,只是提示错误。

分手快乐 发表于 2015-3-5 19:02:34

我学习Linux的心得体会 ,希望对大家的学习有所帮助,由于水平有限,本文难免有所欠缺,望请指正。

再见西城 发表于 2015-3-12 12:03:43

如果你想深入学习Linux,看不懂因为文档实在是太难了。写的最好的、最全面的文档都是英语写的,最先发布的技术信息也都是用英语写的。

第二个灵魂 发表于 2015-3-19 22:14:15

请问谁有Linux的学习心得的吗?简单的说说?
页: [1]
查看完整版本: 带来一篇研讨Linux下Firewall防火墙的设置