iptables防火墙如何开放ftp端口

最新推荐文章于 2025-02-08 11:41:46 发布
最新推荐文章于 2025-02-08 11:41:46 发布
阅读量1w 收藏 15
点赞数 3
分类专栏: linux
本文介绍如何在Linux服务器上配置vsftpd FTP服务,并针对iptables防火墙进行相应端口设置,确保FTP服务正常工作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux服务器上安装ftp提供用户上传下载,是很方便的事情,但是如果你的服务器开启了iptables防火墙,就要对ftp端口做一些设置。
ftp端口真的比较特殊,并不像80,22这些端口。它分为连接用的端口,还有当你上传下载文件的传输数据用的端口。
netstat -tnl 命令可以看到,我们现在运行了ftp服务。
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
现在我开始对ftp端口的设置,按照我们以前的视频,添加需要开放的端口
ftp连接端口有 21 和 20 端口,21端口用于连接,20端口用于传输数据,我现在添加对应的规则。
[root@localhost root]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@localhost root]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
[root@localhost root]# iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[root@localhost root]# iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
好,这样就添加完了,我们用浏览器访问一下ftp,出现超时。
所以我刚才说 ftp 是比较特殊的端口,它还有一些端口是 数据传输端口,
例如目录列表, 上传 ,下载 文件都要用到这些端口。
而这些端口是 任意 端口。。。 这个 任意 真的比较特殊。
如果不指定什么一个端口范围, iptables 很难对任意端口开放的,
如果iptables允许任意端口访问, 那和不设置防火墙没什么区别,所以不现实的。
那么我们的解决办法就是 指定这个数据传输端口的一个范围。
下面我们修改一下ftp配置文件。
我这里使用vsftpd来修改演示,其他ftp我不知道哪里修改,大家可以找找资料。
[root@localhost root]# vi /etc/vsftpd/vsftpd.conf
在配置文件的最下面添加
pasv_min_port=30001
pasv_max_port=31000
然后保存退出。
这两句话的意思告诉vsftpd, 要传输数据的端口范围就在30001到31000 这个范围内传送。
这样我们使用 iptables 就好办多了,我们就打开 30001到31000 这些端口。
[root@localhost root]# iptables -A INPUT -p tcp --dport 30001:31000 -j ACCEPT
[root@localhost root]# iptables -A OUTPUT -p tcp --sport 30001:31000 -j ACCEPT
[root@localhost root]# service iptables save
最后进行保存, 然后我们再用浏览器范围下 ftp。可以正常访问
linux(centos)查看开放端口防火墙开放端口及mysql端口查看
weixin_43178406的博客
03-25 1万+
1. 防火墙开放端口 1.1 检查是否有iptables 1.2 安装iptables 1.3 停止并屏蔽firewalld服务 1.4 允许所有 1.5 清空所有默认规则 1.6 清空所有自定义规则 1.7 所有计数器归0 1.8 允许来自于lo接口的数据包(本地访问) 1.9 开放端口 1.10 允许ping 1.11 允许接受本机请求之后的返回数据 RELATED,是为FTP设置的 1.12 其他入站一律丢弃 1.13 所有出站一律绿灯 1.14 所有转发一律丢弃 1.15 保存上述规则 ....
iptables防火墙详解
Linux运维老纪的博客
07-28 956
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
iptables放行ftp服务
小新没有蜡笔
10-20 2060
以下是ftp被动模式iptables规则一、默认策略为ACCEPT[root@centos6 ~]# modprobe nf_conntrack_ftp [root@centos6 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@centos6 ~]# iptables -A INPUT -p tcp --dport 21 -m sta
iptables开放ftp连接
天涯时空
12-17 1468
iptables开放ftp连接这两天在给客户安装服务器时也顺便给他们使用iptables,不用不知道,一用才发现iptables还有很多东西可以学的,比如开放ftpiptables 的filter表的INPUT链的默认策略设为了DROP,其余的链均为ACCEPT。 该服务器即要作ftp服务器,也要连上别的ftp服务器。即是说要把源端口和目的端口开放21才行:
Linux 服务器防火墙开放端口命令(iptables、firewalld和ufw)
qq_44955062的博客
02-08 672
1.systemctl start firewalld.service(开启防火墙)2.systemctl stop firewalld.service(关闭防火墙)ufw reset 重置防火墙,将删除之前定义的所有过滤规则。参考文档:Linux firewalld防火墙的使用配置。参考文档:Linux iptables防火墙的使用配置。ufw status 查看防火墙状态。ufw disable 关闭防火墙。ufw enable 开启防火墙。ufw allow 允许通过。1、Centos中开放端口
iptables开放ftp连接端口
八月未央
04-19 4462
 iptables 就是linux系统的防火墙,很多人安装iptables之后重启服务器发现网站无法访问,ftp无法连接。关闭iptables之后网站和ftp服务器都能正常访问,但是为了服务器的安全,不建议关闭防火墙。 要想配置好iptablesftp服务器正常访问,我们首先要了解一下ftp服务器的工作机制。 ftp协议是一个简单、保密性差(明码)的tcp协议,它的工作原理是客户端先连
Iptables开放FTP(主/被)模式端口
weixin_34348174的博客
08-18 352
FTP是File Transfer Protocol(文件传输协议),它有两种工作模式,分别是主动模式(post)和被动模式(passive)PORT(主动模式)FTP客户端连接到FTP服务器的21端口,发送用户名和密码登录,登录成功后要list列表或者读取数据时,客户端随机开放一个端口(1024以上),发送 PORT命令到FTP服务器,告诉服务器客户端采用主动模式并开放端口...
利用iptables开放被动模式下的FTP服务 2
white__cat的专栏
05-28 897
一、FTP服务简介    FTP服务器有两种工作模式:主动模式和被动模式。这两种方式的特点如下:  (1)主动模式下:   tcp, 20(20号端口用于数据传输),21(21号端口用于控制连接)  (2)被动模式:   tcp, 21(用于控制连接) >1023(端口号大于1023的随机端口用于数据传输)   所以如果FTP工作在被动模式下,无法指定数据传输的端口,于是引入了RELA
配置iptables防火墙访问ftp服务
weixin_43916678的博客
12-08 1944
在当前环境下内外网均可连接ftp服务 1.1 打开windows7的cmd,输入ftp 10.0.0.2,输入用户名ftp,密码123456.登录成功 1.2 打开win2003的cmd,输入ftp 10.0.0.2,输入用户名ftp,密码123456.登陆成功 配置iptables防火墙进制内外网访问ftp服务 在防火墙centos的终端输入如下命令,清空防火墙规则 iptables -F //清空当前所有链上的规则 iptables -X //清除当前所有链的计数器 iptables- -
Linux—iptables防火墙
A6985HG的博客
07-30 2151
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
Linux上iptables防火墙的基本应用教程.docx
10-29
iptables 是 Linux 上常用的防火墙软件,本教程将介绍 iptables 的安装、清除 iptables 规章、iptables开放指定端口iptables 屏蔽指定 IP、IP 段及解封、删除已添加的 iptables 规章等 iptables 的基本应用。...
iptables实现转发ftp的访问请求
05-29
iptables实现转发ftp的访问请求
iptables放开ftp规则配置
weixin_30950607的博客
12-13 292
1) 控制连接 客户端希望与FTP服务器建立上传下载的数据传输时,它首先向服务器的TCP 21端口发起一个建立连接的请求,FTP服务器接受来自客户端的请求,完成连接的建立过程,这样的连接就称为FTP控制连接。 2) 数据连接 FTP控制连接建立之后,即可开始传输文件,传输文件的连接称为FTP数据连接。FTP数据连接就是FTP传输数据的过程,它有两种传输模式PORT(主动)...
iptables允许FTP
weixin_30758821的博客
04-14 376
iptables设置允许访问ftp(建立连接,数据传输) 由于ftp服务在建立连接和传输数据时,使用的时不同的端口,建立连接的端口20、21,数据传输的端口可以自定义: 修改ftp配置文件,指定用于数据传输的端口范围为40001-41000,在配置文件最后添加如下两行: pasv_min_port=40001 pasv_max_port=41000 然后将建立连接的端口和数据...
linux ftp iptables,linux – 使用IPTables允许FTP
weixin_39815600的博客
05-06 162
我当前的场景涉及允许各种规则,但我需要从任何地方访问ftp.操作系统是Cent 5,我正在使用VSFTPD.我似乎无法使语法正确.所有其他规则都正常工作.## Filter all previous rules*filter## Loopback address-A INPUT -i lo -j ACCEPT## Established inbound rule-A INPUT -m state ...
iptables ftp
weixin_33978016的博客
11-07 119
Linux服务器上面有ftp服务,但是为了安全,需要在现有的iptables上面开启相对应的端口 iptables支持ftp,所以增加 modprobe ip_nat_ftp modprobeip_conntrack_ftp 上面这2个 在/etc/sysconfig/iptables-config里面添加 # stored in /etc/mod...
linux ftp模块添加,iptablesFTP模块的增加(开启FTP端口)
weixin_32121569的博客
05-05 281
在linux里搭建VSFTP服务器,这个很简单。但是服务器使用IPTABLES做安全的话,那么需要在IPTABLES编写规则并且增加支持模块。1.增加模块vim /etc/sysconfig/iptables-configIPTABLES_MODULES="ip_nat_ftp"2.iptables规则如果INPUT 为DROP的情况下iptables -A INPUT -m state --st...
FTP服务器iptables的配置
windowsxpwyd的专栏
06-14 2933
系统:CentOS6.2 软件:vsftpd, iptables 安装完系统后,默认的iptables的规则只允许状态为RELATED、ESTABILISHED的包和SSHD的数据包进入服务器,当安装好vsftpd后,通常需要在iptables上面放开21端口,完整的iptables配置如下: iptables   -A INPUT -m state --state RELATED,ESTA
iptables 中配置vsftp的访问
热门推荐
leon
02-04 1万+
FTP的主动模式(active mode)和被动模式(passive mode):大多数的TCP服务是使用单个的连接,一般是客户向服务器的一个周知端口发起连接,然后使用这个连接进行通讯。但是,FTP协议却有所不同,它使用双向的多个连接,而且使用的端口很难预计。一般,FTP连接包括:一个控制连接(control connection)这个连接用于传递客户端的命
iptables开放FTP
最新发布
03-29
<think>好的,用户问的是如何在iptables中只开放FTP服务。我需要先理解用户的需求,他们可能希望服务器仅允许FTP流量,其他端口或服务都被阻止。FTP比较特殊,因为它使用两个端口:20和21,而且还有被动模式的问题,可能涉及动态端口范围。 首先,我应该回忆一下iptables的基本结构,比如表(filter、nat等)和链(INPUT、OUTPUT、FORWARD)。FTP属于需要处理连接跟踪的服务,因为它的数据连接是动态的。可能需要加载ip_conntrack_ftp和ip_nat_ftp模块来跟踪FTP连接,这样iptables才能正确识别相关的数据连接。 接下来,用户可能不知道FTP有主动和被动模式的区别。主动模式下,服务器使用20端口主动连接客户端,而被动模式下,服务器会开启一个随机的高端口。这时候需要明确用户使用的是哪种模式,或者是否都需要处理。通常,现代FTP服务器可能默认使用被动模式,所以可能需要开放一定的端口范围。 然后,考虑基本的规则设置。首先允许已建立的连接和相关的连接,这很重要,因为FTP的数据连接可能被识别为ESTABLISHED或RELATED。然后允许21端口的控制连接,以及20端口的数据连接(主动模式)。对于被动模式,可能需要指定一个端口范围,比如50000-51000,并在规则中开放这些端口。 另外,可能需要配置NAT相关的规则,特别是如果服务器在NAT后面,或者需要做端口转发。不过用户的问题可能集中在filter表的INPUT链上,所以重点应该放在这里。 还要注意默认策略,将INPUT链的默认策略设为DROP,然后显式允许需要的端口和服务。同时,确保OUTPUT链允许相关流量,否则服务器可能无法响应。 最后,提醒用户保存iptables规则,因为重启后规则会丢失。不同的Linux发行版保存方式不同,比如使用iptables-save或netfilter-persistent等工具。 用户可能的误区包括忘记处理被动模式端口,或者没有加载必要的模块导致数据连接被阻止。需要检查这些方面,并给出明确的步骤和解释,确保用户能够正确配置。</think>以下是使用 `iptables` **仅开放FTP服务**的分步配置指南。FTP协议涉及**控制连接(端口21)**和**数据连接(端口20或动态端口)**,需特别注意连接追踪。 --- ### 一、基础规则(允许FTP控制与数据连接) ```bash # 清空现有规则 iptables -F iptables -X # 设置默认策略(拒绝所有入站流量) iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 允许已建立连接和相关的数据包 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # 开放FTP控制端口(21) iptables -A INPUT -p tcp --dport 21 -j ACCEPT # 开放主动模式数据端口(20) iptables -A INPUT -p tcp --dport 20 -j ACCEPT ``` --- ### 二、处理被动模式(PASV模式动态端口) 被动模式下,FTP服务器会随机使用**高端口**传输数据,需指定端口范围并开放: ```bash # 假设FTP被动模式端口范围为50000-51000 iptables -A INPUT -p tcp --dport 50000:51000 -j ACCEPT ``` --- ### 三、加载FTP连接追踪模块(关键步骤) FTP数据连接依赖连接追踪,需加载内核模块: ```bash modprobe ip_conntrack_ftp # 加载连接追踪模块 modprobe ip_nat_ftp # 加载NAT支持模块 # 永久生效(写入/etc/modules-load.d/) echo "ip_conntrack_ftp" >> /etc/modules echo "ip_nat_ftp" >> /etc/modules ``` --- ### 四、完整配置示例 ```bash #!/bin/bash iptables -F iptables -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 允许本地回环 iptables -A INPUT -i lo -j ACCEPT # 允许FTP相关流量 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 50000:51000 -j ACCEPT ``` --- ### 五、验证与持久化 1. **测试FTP连接**: 使用客户端尝试主动/被动模式连接,验证文件传输是否正常。 2. **保存规则**: ```bash # Debian/Ubuntu apt install iptables-persistent netfilter-persistent save # CentOS/RHEL service iptables save ``` --- ### 常见问题 - **被动模式失败**:检查是否开放了正确的动态端口范围。 - **模块未加载**:通过 `lsmod | grep ftp` 确认模块加载状态。 - **防火墙规则冲突**:确保没有其他规则覆盖FTP端口
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值