FTP 协议 基于 Netfilter Conntrack 的 动态端口 开放

最新推荐文章于 2023-12-28 02:49:56 发布
最新推荐文章于 2023-12-28 02:49:56 发布
阅读量3.1k 收藏 11
点赞数 1
分类专栏: Ubuntu学习之旅 文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/And_ZJ/article/details/102569118
版权
本文探讨Linux如何通过Netfilter的conntrack模块实现FTP协议动态端口开放。主要内容包括nf_conntrack_ftp模块的加载、相关内核源码分析、iptables规则设置以及winscp客户端测试。通过conntrack跟踪连接状态,实现数据包标记,允许动态端口通信。同时,文章简要提及OPC DA协议的动态端口开放。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


由于 防火墙的默认策略 应该是DROP,对于像 FTP 这种在被动模式下,需要新开端口建立数据通道的协议而言,防火墙不能够主动的开辟相关的端口,也就在默认DROP情况下,FTP的数据端口不能通信,就会出现能登录成功,但获取不到目录的情况。关于 FTP 的介绍,可参考这篇 帖子

在 Linux 中,Netfilter 自带一个 conntrack 模块,于是就先以 ftp 协议为例研究了一下。其主要原理是,监控相应端口的流量,尝试获取到含有动态端口的数据包,然后,将相应端口的数据包标记成RELATED的数据(猜测是这样),因而,使其实现通信。

实现 ftp 动态端口的模块 文件是 net/netfilter/nf_conntrack_ftp.c,include/linux/netfilter/nf_conntrack_ftp.h,include/uapi/linux/netfilter/nf_conntrack_ftp.h,net/netfilter/nf_nat_ftp.c,还有一个 net/netfilter/ip_vs_ftp.c 文件暂时没看懂干啥的。这些文件均来自于 linux 内核文件。在 Ubuntu 18.04 系统中,以 apt-get install linux-source-5.0.0 的方式获取。

测试系统 Ubuntu 18.04,内核版本:5.0.0-31-generic,iptables 版本:1.6.1

nf_conntrack_ftp 模块加载

首先,了解如何开启linux系统自带的 ftp 协议的动态端口模块。

  1. 准备ftp客户端和服务器,linux下可使用vsftpd作为ftp服务器,相关安装方法,可参考这篇帖子。windows下的ftp客户端,可使用WinScp这个软件。
  2. 设置系统对conntrack模块的支持
    vim /etc/sysctl.conf
    添加一行:
    net.netfilter.nf_conntrack_helper=1
    然后使用sysctl -p使其生效。
    主要是新版系统需要加这个一句,旧版系统不需要,旧版似乎是默认开启的,此部分可参考这个文章
  3. 加载 nf_conntrack_ftp 模块
    modprobe nf_conntrack
modprobe nf_conntrack_ftp
  4. iptables 测试规则(此处仅是ipv4的测试规则,ipv6需要用到ip6tables)
    iptables -F # 清空规则
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP # FORWARD链规则默认DROP
iptables -A FORWARD -p tcp -m state --state NEW --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# 按照对上面那篇文章的理解,应该是用下面这个规则的,
# 但是,测试发现,只用下面这个反而通信不了,用上面那句规则,模块是会工作的。有点迷,可能没理解好。
# iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -m helper --helper opc -p tcp -j ACCEPT
    此外,还可能需要要一条这样的规则
    iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp

注意:
(1)必须要用-D选项删除上面这条规则后,nf_conntrack_ftp模块才能被卸载,否则卸载时会提示被使用。
(2)应使用 iptables -t raw-nL 查看这条规则的配置。
此处在 FORWARD 链上测试,也可自行改成INPUT和OUTPUT链,Ubuntu 18.04 使用 bridge_utils 配置网桥后,需要额外加载模块,FOWWARD 链规则才生效,相关操作可见这篇帖子
5. 开启 ftp 服务器后,使用 winscp 客户端对其进行访问测试。
默认情况下,winscp 是用 被动模式通信的,被动模式的确需要动态端口开放这这一策略。
不过首先要明确一点,防火墙上做动态端口开放,显然要求协议是明文的,加密是不行的,加密就没法从数据包里获得地址和动态端口信息了(除非知道秘钥,并且重写模块)。所以,连接设置如下:
在这里插入图片描述
如果选用主动模式通信,可点击上面界面中的“高级”,然后进入“连接”,取消“被动模式”的选中即可。主动模式,似乎只需要再开放20端口即可,不用conntrack,当然这和防火墙策略有关,也许不想实时开着20端口呢。
在这里插入图片描述
然后,连接就能读取成功,去除模块,或者减少iptables的放行规则,将无法通信。

nf_conntrack_ftp 模块粗读

今天太晚了,先不写了。

include/uapi/linux/netfilter/nf_conntrack_ftp.h

这个文件主要是定义了FTP几种模式:

/* This enum is exposed to userspace */
enum nf_ct_ftp_type {
   
	/* PORT command from client */
	NF_CT_FTP_PORT,
	/* PASV response from server */
	NF_CT_FTP_PASV,
	/* EPRT command from client */
	NF_CT_FTP_EPRT,
	/* EPSV response from server */
	NF_CT_FTP_EPSV,
};

上面两个是ipv4下面的主动和被动模式,下面两个则是ipv6下面的主动和被动模式

include/linux/netfilter/nf_conntrack_ftp.h

#define FTP_PORT	21

#define NF_CT_FTP_SEQ_PICKUP	(1 << 0)

#define NUM_SEQ_TO_REMEMBER 2
/* This structure exists only once per master */
struct nf_ct_ftp_master {
   
	/* Valid seq positions for cmd matching after newline */
	u_int32_t seq_aft_nl[IP_CT_DIR_MAX][NUM_SEQ_TO_REMEMBER];
	/* 0 means seq_match_aft_nl not set */
	u_int16_t seq_aft_nl_num[IP_CT_DIR_MAX];
	/* pickup sequence tracking, useful for conntrackd */
	u_int16_t flags[IP_CT_DIR_MAX];
};

没太懂这里的,但是能看出来时用来存储序列号的,就是conntrack时,要校验并更新数据流的序列号。如果序列号对不上,并不会放行这个包。

net/netfilter/nf_conntrack_ftp.c

#define MAX_PORTS 8
static u_int16_t ports[MAX_PORTS];
static unsigned int ports_c;
module_param_array(ports, ushort, &ports_c, 0400);

static bool loose;
module_param(loose, bool, 0600);

首先限制了最大监听的端口数量,不超过8个ftp服务器的端口。
module_param 这个貌似是可以在加载模块是传递参数,0400这个表明权限,但是不太懂这个loose变量到底是什么啥意思,修复的那个bug代表啥含义。

static int try_rfc959(const char *, size_t, struct nf_conntrack_man *,
		      char, unsigned int *);
static int try_rfc1123(const char *, size_t, struct nf_conntrack_man *,
		       char, unsigned int *);
static int try_eprt(const char *, size_t, struct nf_conntrack_man *,
		    char, unsigned int *);
static int try_epsv_response(const char *, size_t, struct nf_conntrack_man *,
			     char, unsigned int *);
			     
static struct ftp_search {
   
	const char *pattern;
	size_t plen;
	char skip;
	char term;
	enum nf_ct_ftp_type ftptype;
	int (*getnum)(const char *, size_t, struct nf_conntrack_man *, char, unsigned int *);
} search[IP_CT_DIR_MAX][2];

这四个函数,就是尝试解析 ftp 数据包的,分别以那四种情况,去尝试解析出 动态端口。
然后含有个search结构体数据,里面包含了四种情况对应的解析方法,getnum指针就指向这几个函数。

/* Return 1 for match, 0 for accept, -1 for partial. */
static int find_pattern(const char *data, size_t dlen,
			const char *pattern, size_t plen,
			char skip, char term,
			unsigned int *numoff,
			unsigned int *numlen,
			struct nf_conntrack_man *cmd,
			int (*getnum)(const char *, size_t,
				      struct nf_conntrack_man *, char,
最低0.47元/天 解锁文章
netfilterconntrack连接跟踪
fengcai_ke的博客
07-18 1359
netfilter conntrack
netfilterconntrack-helper
fengcai_ke的博客
07-18 2128
netfilter conntrack-helper
modprobe命令
一个人的安静
10-10 1162
今天看到篇文章可以用modprobe加载ip_conntrack_ftp模块支持ftp服务器的iptables配置,这样就只用打开21端口,不用像以前一样傻傻的去ftp软件那指定数据端口。 语  法:modprobe [-acdlrtvV][--help][模块文件][符号名称 = 符号值] 补充说明:modprobe可载入指定的个别模块,或是载入一组相依的模块。modprobe会根据...
部署到Linux系列教材 (十六)- FTP - 开放端口
MAGIC_LAN的博客
04-29 575
目前安全组规则是3个,分别是22,3389和ICMP协议。只有这两个端口号是不够用的,为了能够链接vsftpd服务器还需要开放21端口和 30000-30010端口端口范围: 30000/30010 表示从30000开始,到30010结束。既然用的是阿里云,那么我们就借助阿里云的安全组操作来实现端口开放效果。3389 是阿里云控制台链接用的端口,这里没有用到。端口范围: 21/21 表示从21开始,到21结束。要访问Linux端口,必须开通才行。步骤里,只开通了22和3389端口
linux内核netfilter之ip_conntrack模块的作用举例--ftp为例
TCP/IP
06-24 1万+
<br />很多协议的控制信息在应用层数据中被包含,这些信息直接影响到了链路的建立,比如ftp协议就是这样,ftp分为port模式和pass模式,port模式中,起初client连接server的21端口,然后当需要传输data的时候,client发送一个控制包给server,包中包含client端开启的端口和自己的ip地址,server收到之后用自己的20端口去连接client控制包中建议的ip和端口,在这种情况下,如果client在nat后面使用私网地址,那么server将无法连接client,因此na
FTP主动模式与FTP被动模式所需的端口
MARY197011111的博客
07-23 5571
FTP仅基于TCP的服务,不支持UDP。 FTP使用2个端口,一个数据端口和一个命令端口/控制端口。这两个端口是21(命令端口)和20(数据端口)。但FTP工作方式的不同,数据端口并不总是20。这就是主动与被动FTP的最大不同之处。 (一)主动FTP(PORT)    主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的21命令端口。然后客户端开
使用FTP服务需要开放端口
weixin_33894640的博客
02-04 4150
和很多人一样,我本来也认为这不会成为一个问题,执行netstat -an命令查看当前网络连接情况,就可以知道FTP服务需要开放端口是21。可实际使用过后,才发现并不是那么简单。 使用IIS搭建一台FTP服务器,启用Windows防火墙,对外只开放TCP协议的21端口。使用命令行和IE浏览器分别访问FTP服务器,发现命令行可以访问,而IE浏览器无法访问。为什么呢?使用...
FTP需要开放端口
qq_37741426的博客
11-13 548
FTP需要开放端口
linux内核协议netfilter 之连接跟踪模块概述
11-01 750
连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。包括TCP、UDP、ICMP等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口协议号来确定一条连接。 因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntrack_protocol、nf_conntrack_l3proto,其中nf_conntrack_protocol是四层协议的连接跟踪相关的结构,这个...
Linux-netfilter-conntrack机制初步分析
04-27
连接跟踪辅助模块(`ip_conntrack_helper`)用于扩展连接跟踪功能,例如支持FTP等活跃协议。每个辅助模块都由一个`ip_conntrack_helper`结构体表示,该结构体包括: - **protocol**:协议类型。 - **helper_function*...
【部署到Linux】【FTP】3-8-开放端口
bug制造者
05-20 358
1.端口概念 要访问Linux端口,必须开通才行。 在购买ECS服务器-网络步骤里,只开通了22和3389端口。 22就是SecureCRT链接Linux服务器用的端口号。 3389 是阿里云控制台链接用的端口,这里没有用到。 只有这两个端口号是不够用的,为了能够链接vsftpd服务器还需要开放21端口和 30000-30010端口 2.安全组 既然用的是阿里云,那么我们就借助阿里云的安全组操作来实现端口开放效果。 登陆阿里云后,按照如下顺序选择:云服务器ECS->安全组->配置规则 3
iptables 设置 h323 动态开放端口
Andrew Yang's Note
05-06 2554
iptables 设置 h323 动态开放端口 1. 插入 h323 模块 为了支持 h323 协议,内核需要插入 nf_conntrack_h323, nf_nat_h323 模块。 modprobe nf_conntrack_h323 modprobe nf_nat_h323 2. 配置 iptables 规则 h323 使用 1719, 1720 端口。但主要是使用 1720 端口。 ...
ftp搭建&计算机端口介绍
最新发布
weixin_73898077的博客
12-28 3832
一、ftp的简介&搭建 1.1防火墙开启 1.2创建组 1.3创建用户 1.4安装ftp服务器 1.5配置ftp服务器 1.6配置ftp文件夹的权限 1.7连接端口测试 二、计算机端口介绍
FTP主动连接、被动连接、连接端口的分配与使用、误区总结
干就完了
04-20 4933
在一个网络工程师考试群中无意中看到的,好像有一道题叫什么ftp客户端可以使用哪个端口,有4个答案,20,21,80,4155,其中肯定是4155了,因为20、21都是ftp服务器使用的,80是web服务器使用的。再者从另一方面说,客户端使用的端口都是动态向系统申请的,一般都大于1024。后来记得我说了句主动连接时服务器使用的是20号端口与客户端建立连接,有人就开始反驳了说是不管主动还是被动端口服务器的数据连接端口都大于1024,很好笑。今天也就顺便总结一下吧,google了一下,发现网上各种解释都有,错误的
ftp主动连接、被动连接、连接端口的分配与使用、误区总结
热门推荐
大魔王的技术人生
03-23 1万+
今天在一个网络工程师考试群中无意中看到的,好像今年有一道题叫什么ftp客户端可以使用哪个端口,有4个答案,20,21,80,4155,其中肯定是4155了,因为20、21都是ftp服务器使用的,80是web服务器使用的。再者从另一方面说,客户端使用的端口都是动态向系统申请的,一般都大于1024。后来记得我说了句主动连接时服务器使用的是20号端口与客户端建立连接,有人就开始反驳了说是不管主动还是被动...
Linux内核支持ftp,linux内核netfilter之ip_conntrack模块-FTP模式
weixin_39612896的博客
04-29 900
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。Port模式:ftp server:tcp 21 server:tcp 20 ------>client:dynamicPasv模式:ftp server:tcp 21 server:tcp dynamic PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建...
FTP ALG in Netfilter(Part 3 - 实例分析)
chengfangang的专栏
03-26 1850
http://blogt.chinaunix.net/space.php?uid=23227798&do=blog&id=2485817
linux2.4中netfilter_nat_alg机制分析--以FTP流程为例,分析NAT和ALG
achejq的专栏
02-13 1470
https://www.cnblogs.com/lagujw/p/4585156.html 以FTP流程为例,分析NAT和ALG 网络环境: 192.168.1.2-----192.168.1.1 NAT 200.100.100.1------202.100.100.2   阶段一: src/dst/sport/dport:192.168.1.2/202.100.100.2/3333/...
搭建FTP服务器与计算机端口介绍
djssubddbj的博客
12-27 3426
FTP(File Transfer Protocol)是一种用于在计算机网络上进行文件传输的协议。它允许用户通过客户端与服务器进行通信,从服务器下载文件或将文件上传到服务器。FTP使用客户端-服务器模型。用户使用FTP客户端软件连接到FTP服务器,并通过命令发送和接收文件。FTP客户端可以是一个独立的应用程序或集成在操作系统中。FTP使用两个不同的通道进行通信:控制通道和数据通道。控制通道用于发送命令和接收响应,而数据通道用于传输实际的文件数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值