如何打开openwrt alg ftp功能

原创 于 2024-10-11 17:35:58 发布 · 346 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #linux

ftp alg涉及到的宏控制

开启相关的宏控制 
a. include/netfilter.mk 
在这个文件中有下面两行代码,表示ftp alg 受下面这两个宏控制CONFIG_NF_CONNTRACK_FTP和CONFIG_NF_NAT_FTP

(eval(eval(call nf_add,NF_NATHELPER,CONFIG_NF_CONNTRACK_FTP, $(P_XT)nf_conntrack_ftp))

(eval(eval(call nf_add,NF_NATHELPER,CONFIG_NF_NAT_FTP, $(P_XT)nf_nat_ftp))

b. target/linux/generic/config-4.4 (主要看你产品使用的是哪个配置文件)如下两个宏打开

在这里主要配置 
CONFIG_NF_CONNTRACK_FTP=m 
CONFIG_NF_NAT_FTP=m

c .依赖的宏NF_NATHELPER也需要打开

还需要将NF_NATHELPER宏-package宏打开。方法是通过make menuconfig 打开kmod-nf-nathelper.。打开后保存。

fonfan
关注
openwrtopenwrt FTP/SIP/RTSP passthrough实现说明
wgl307293845的博客
10-18 447
Enable NAT passthrough for FTP using kmod-nf-nathelper. opkg update opkg install kmod-nf-nathelper service firewall restart SIP passthrough Enable NAT passthrough for SIP, PPTP, GRE, etc. using kmod-nf-nathelper-extra. opkg update opkg install kmod-nf-na
R2S软路由基于openwrt固件的FTP共享设置丨移动端打不开smb2协议的替换方案
Rxe的博客
11-06 8227
Smb1.0协议因为安全性逐渐淘汰,更高的版本协议在部分手机移动端上自带的网络邻居支持性又不太好,明明设置了可匿名访问,但总提醒用户名或密码错误,PC端就能正常连接打开,让只是想组建个家庭共享库的普通用户比如说我很不方便。为此在排除软路由固件和设置问题后,打算换成ftp协议共享。以下是在R2S软路由基于Openwrt固件的设置 固件版本信息 FTP服务器常规设置-监听设置 勾选启用IPv4,监听端口建议修改任意,如211,2333等其他,其他保持默认。 全局设置 根据需求修改,可保持默
FTP ALG in openwrt
mlxxqq的专栏
01-13 597
kmod-nf-nathelper
openwrt下增加FTP alg功能
huyb100的博客
09-12 4335
alg的编译选项 CONFIG_NF_CONNTRACK_FTP=m CONFIG_NF_CONNTRACK_H323=m CONFIG_NF_CONNTRACK_SIP=m CONFIG_NF_CONNTRACK_TFTP=m CONFIG_NF_NAT_FTP=m CONFIG_NF_NAT_SIP=m CONFIG_NF_NAT_TFTP=m openwrt各模块的位置...
OpenWrt路由开启FTP服务访问文件
热门推荐
秋之颂的博客
02-23 4万+
OpenWrt路由开启FTP服务访问文件(LuCI界面实现)--开篇一、准备工作二、开机!三、连接--结尾 –开篇 现在很多路由器都自带了文件分享功能,但往往都有平台的局限性。而搭载开源系统OpenWrt的路由器/软路由可以直接根据需求配置FTP,搭建一个自己的FTP服务器,通过网络访问U盘/硬盘的文件。更可喜的是,OpenWrt路由器允许你通过VPN(VPN服务端)或者DDNS在外网进行访问,从而达到搭建个人云服务器的效果。本篇,将介绍在OpenWrt的LuCI界面配置FTP服务的方法。至于FTP是什么
OpenWrt中配置使用FTP文件服务
好记性不如烂笔头
10-04 4415
增加一行local_root=/home/ftp,将root用户目录修改为与ftp用户目录相同,便于以root身份登录到ftp目录做修改;cat /etc/passwd #查看系统用户目录,root用户目录为/root,ftp用户目录为/home/ftp;在电脑文件管理器中打开ftp地址(例如ftp://192.168.1.1),即可看到ftp目录内的ftp.txt文件;>/home/ftp/ftp.txt #在ftp目录内新建一个文件;
Openwrt PPTP ALG功能
bingyu的博客
11-05 1979
Openwrt PPTP ALG功能 主要涉及了以下文件: net/netfilter/nf_conntrack_pptp.c net/ipv4/netfilter/nf_nat_pptp.c 需要选中以下2个配置: CONFIG_NF_CONNTRACK_PPTP=m CONFIG_NF_NAT_PPTP=m 还需要将NF_NATHELPER宏打开 ...
浅谈FTP ALG
chengfangang的专栏
03-26 1万+
浅谈FTP ALG 分类: 网络技术2009-03-09 17:50 最近遇到了FTP的问题,牵扯到了ALG,在这里写一下,为了以后的学习参考. 先来认识一下ALG的概念, It allows customized NAT traversal filters to be plugged into the gateway to support addr
openwrt插件扩展大全ipk3100个对应功能中文 解释
06-07
openwrt插件扩展大全ipk3100个对应功能中文 解释
OpenWrt实现网络中继功能的详细设置
07-15
连接到该网络后,通过打开网页、播放视频等方式,检查网络连接是否正常,信号强度是否有所提升,从而验证中继设置是否成功。 通过以上步骤,你就可以轻松完成OpenWrt路由器的WiFi中继设置,让无线网络覆盖更广,上网...
华为路由器命令全集,很详细的哦。
09-27
华为路由器命令华为路由器命令华为路由器命令华为路由器命令华为路由器命令华为路由器命令华为路由器命令华为路由器命令
FTP ALG 功能实现的概要说明
为了忘却的记忆
04-07 1万+
近阶段了解了一下ALG,有些体会做一个记录,以供以后查阅。 ALG,Application Layer Gateway的缩写,这是一般网络设备或者主机都必备的一个小模块,那ALG是为了完成一个什么功能呢? 这首先要从IPV4的地址过少说起,因为IPV4地址过少,所以规定了部分地址给内部分配使用,这种地址段在互联网上是不分配的,其中有10.X.X.X 和192.168.X.X,一般公司较大的就用前一种,公司较小的就用后一种。(比如我在公司的机器就是192.168.5.188) 这样使用
万花筒写轮眼之防火墙ALG技术之FTP协议穿墙术
MachineGunJoe666
06-15 781
FTP协议主动模式穿越SNAT 主动模式穿越SNAT主要用于FTP服务器部署在公网,客户端需要通过SNAT转换访问服务器。如图1-1所示,描述了FTP主动模式穿越SNAT时的工作流程,此时需要借助ALG技术才可以完成穿越防火墙。 图1-1 FTP主动模式穿越SNAT流程图 防火墙设备上配置了私网地址192.168.12.2到公网地址106.120.22.2/FTP服务的映射,实现IP地址的转换,以支持私网客户端对公网服务器的访问。组网中,若没有ALG对报文载荷的处理(图1-1中红色字体部分内容的变
FTP、TFTP 实现 NAT ALG 访问
XFH1207的博客
12-11 1504
1. 环境 操作系统: CentOS 6.10 安装 ftp 服务: rpm -ivh vsftpd-2.2.2-24.el6.x86_64.rpm 安装 tftp 服务: rpm -ivh xinetd-2.3.14-40.el6.x86_64.rpm rpm -ivh tftp-server-0.49-8.el6.x86_64.rpm 2. FTP NAT ALG 应用 ftp 服务配置 1. 配置为被动模式,指定监听端口范围 2. 默认ftp目录加权限:chown -R ftp:ftp /var/
openwrt 教程
guofeidageda的博客
02-28 1205
1.下载openwrt源码 git clone git://git.openwrt.org/openwrt.git 2.下载并安装所有可用的"feeds" cd openwrt ./scripts/feeds update -a ./scripts/feeds install -a 3.运行下面的命令让OpenWrt编译系统检查你的编译环境中缺失的软件包: make defconfig mak...
KVM网络配置(三)—— 使用网桥NAT模式
wozaiyizhideng的博客
05-20 1387
NAT
使用openWRT 配置SFTP 实现远程文件安全传输
小小小智_x0__0x_的博客
09-07 2211
本次教程我们将在OpenWRT上安装SFTP服务,并结合cpolar内网穿透,创建安全隧道映射22端口,实现在公网环境下远程OpenWRT SFTP,安全地传输文件,比如备份文件、配置文件等。SFTP是一种安全文件传输协议,它基于SSH协议,提供了加密、认证和数据完整性保护的安全文件传输服务。cpolar是一个安全且强大的内网穿透工具,它可以通过安全隧道将NAT或防火墙后面的本地服务器,暴露给公共互联网。用过一段时间后你会发现,它甚至还可以直接在家中实现小型的云服务。
【Docker】嵌入式检测Docker安装环境配置-解决安装问题
atao的博客
06-12 2815
看完此文后,你应该会感慨,能遇到下面链接中的脚本真是相见恨晚,在安装docker过程中,各种疑难杂症都给罗列出来了! 前言 之前在imx6q的板子上整docker过程中,把网都快爬穿了,过程中有各种奇形怪状的问题,好在最后都解决了。写此文的目的第一是做个总结,第二也为和我一样对新事物的好奇而又执着的小伙伴们少走些弯路。不然的话,遇到一个问题又要耗费大量时间来定位问题。人生苦短,没必要浪费自己的...
在用户态删除内核sip为特定值的所有nf_conntrack
m0_64406986的博客
04-11 528
【代码】在用户态删除内核sip为特定值的所有nf_conntrack。
讲解一下1.9 NAT ALG的概念与作用
最新发布
07-31
<think>我们之前已经讲解了NAT的基本概念、类型和穿透技术。现在用户要求讲解NAT ALG(Application Layer Gateway)的概念与作用。根据引用内容,我们注意到引用[1]提到了全局NAT和接口NAT的优先级关系,引用[2]提到了NAT转换表中包含端口转换。这些引用虽然与NAT ALG没有直接关系,但我们可以从中提取出NAT处理的基本机制,作为背景知识。 NAT ALG是NAT技术中的一个重要组成部分,它解决的是应用层协议中嵌入IP地址或端口信息的问题。在传统的NAT(仅处理IP层和传输层)中,如果应用层协议的数据包中包含了IP地址或端口信息(例如FTP、SIP等协议),那么经过NAT转换后,这些信息可能不会更新,导致通信失败。NAT ALG的作用就是识别特定的应用层协议,并修改其数据部分中的地址信息,使其与NAT转换后的地址信息一致。 接下来,我将详细讲解NAT ALG的概念、作用和工作原理。 ### 1.9 NAT ALG 的概念与作用 #### 一、NAT ALG 的定义 **NAT ALG(Application Layer Gateway,应用层网关)** 是嵌入在NAT设备中的一种功能模块,用于解析和处理特定应用层协议的数据包。它的核心功能是: - 识别应用层协议(如FTP、SIP、H.323等) - 解析并修改应用层数据中嵌入的**IP地址和端口信息** - 确保经过NAT转换后的数据包在应用层仍然保持一致性[^1] > **为什么需要ALG?** > 许多应用层协议(如FTP的`PORT`命令、SIP的`Via`头)会在**数据载荷(Payload)** 中携带IP地址和端口号。这些信息在NAT转换时不会被常规的NAT处理所修改,导致通信双方地址信息不一致而失败。 #### 二、NAT ALG 的工作原理 以 **FTP协议** 为例(使用主动模式): 1. **客户端请求**: 内网客户端(`192.168.1.10:5000`)发送FTP控制命令: ```plaintext PORT 192,168,1,10,19,136 // 即 192.168.1.10:5000 ``` 2. **NAT转换**: - 常规NAT转换:源IP `192.168.1.10` → 公网IP `203.0.113.5`,源端口 `5000` → `6000` - **ALG介入**:检测到FTP的`PORT`命令,将其修改为: ```plaintext PORT 203,0,113,5,23,136 // 即 203.0.113.5:6000 ``` 3. **服务器响应**: 公网FTP服务器收到修改后的命令,向`203.0.113.5:6000`发起数据连接,NAT设备再将此连接转换到内网客户端。 ```mermaid sequenceDiagram participant Client as 内网客户端 participant NAT as NAT设备(ALG) participant Server as 公网FTP服务器 Client->>NAT: PORT 192,168,1,10,19,136 Note over NAT: 1. 转换IP/端口<br>2. 修改PORT命令为公网地址 NAT->>Server: PORT 203,0,113,5,23,136 Server-->>NAT: 向203.0.113.5:6000发起数据连接 NAT->>Client: 转换到192.168.1.10:5000 ``` #### 三、支持 ALG 的常见协议 | 协议 | 使用场景 | ALG 修改内容示例 | |--------|------------------------|--------------------------------------| | **FTP** | 文件传输 | `PORT`/`PASV`命令中的IP和端口 | | **SIP** | VoIP电话 | `Via`/`Contact`头中的IP和端口 | | **H.323** | 视频会议 | 信令中的IP和端口 | | **DNS** | 域名解析 | 响应中的A记录(需特殊处理) | | **ICMP** | 错误诊断 | 错误报文中的原始IP头信息 | #### 四、NAT ALG 的争议与局限性 1. **协议兼容性问题**: - ALG 需要深度解析协议,若协议更新或使用非标准端口,ALG 可能失效[^1]。 2. **安全性风险**: - 修改应用层数据可能破坏加密(如FTPS/SIP over TLS)或引入漏洞。 3. **性能开销**: - 深度包检测(DPI)消耗CPU资源,影响NAT转发速度。 > **替代方案**: > 现代应用倾向于使用 **协议自适应性设计** 避免依赖ALG,例如: > - FTP改用被动模式(PASV)并配合客户端使用`EPSV`命令 > - SIP协议通过`rport`参数传递客户端公网端口 #### 五、企业网络中的 ALG 配置建议 | 场景 | 推荐操作 | 理由 | |---------------------|-------------------------|---------------------------------------| | **基础办公网络** | 启用FTP/SIP ALG | 保障传统应用兼容性 | | **加密通信环境** | 禁用ALG | 避免破坏TLS/DTLS加密 | | **高性能网关** | 按需启用ALG+硬件加速 | 减少CPU负载 | > **注意**:部分路由器允许手动开关ALG,例如在OpenWRT中可通过修改`/etc/config/firewall`配置: > ```bash > config alg > option ftp 'enable' # 启用FTP ALG > option sip 'disable' # 禁用SIP ALG > ``` #### 六、NAT ALG 与 NAT 穿透技术的协同 当使用 **STUN/TURN/ICE** 进行NAT穿透时: - ALG 可能干扰信令(如SIP)的传输,需在穿透策略中排除ALG影响 - 解决方案:在ICE协商阶段通过SDP传递连接信息,绕过ALG修改 --- ### 相关问题 1. **如何检测网络中的NAT设备是否启用了ALG功能?** 2. **FTP协议在ALG处理下,主动模式与被动模式有何差异?** 3. **为什么现代VoIP系统建议禁用SIP ALG?** 4. **如何通过Wireshark抓包分析FTP ALG的工作过程?** [^1]: 全局NAT优先级高于接口NAT,同时配置可能导致接口NAT失效 [^2]: NAT通过端口复用解决地址不足问题</think>### 1.9 NAT ALG 的概念与作用 #### 一、NAT ALG 的核心定义 **NAT ALG(Application Layer Gateway,应用层网关)** 是嵌入在NAT设备中的特殊功能模块,用于解决**应用层协议与NAT的兼容性问题**。其核心原理是: > **深度解析并修改应用层载荷**(如FTP/SIP协议中的IP地址和端口字段),使经过NAT转换后的数据包在应用层仍保持语义一致性[^1]。 #### 二、为什么需要 NAT ALG? 传统NAT仅修改**网络层(IP)和传输层(端口)** 信息,但某些应用层协议(如FTP、SIP)会在**数据载荷中嵌入IP地址或端口号**。若不修改这些信息,将导致通信失败: - **典型故障场景**: ```mermaid sequenceDiagram 内网主机->>公网服务器FTP控制命令 "PORT 192,168,1,10,20,4" Note right of 公网服务器: 解析为私有地址 192.168.1.10:5124 公网服务器-->>内网主机: 尝试连接 192.168.1.10:5124(无法路由) ``` 此场景中,FTP协议的`PORT`命令携带了私有IP和端口,公网服务器无法直接访问[^2]。 #### 三、NAT ALG 的工作流程(以FTP为例) ```mermaid graph LR A[内网主机] -->|发送 FTP PORT 命令| B(NAT设备) B -->|1. 识别FTP协议| C[ALG模块] C -->|2. 替换载荷中的私有地址| D["修改为:PORT 203.0.113.5,6000"] D -->|3. 转发至公网| E[公网服务器] E -->|连接公网IP:Port| B B -->|4. 反向转换地址| A ``` 1. **协议识别**:检测到FTP控制连接(默认端口21/TCP) 2. **载荷解析**:提取`PORT`/`PASV`命令中的地址信息(如 `192,168,1,10,20,4`) 3. **动态修改**: - 将私有IP `192.168.1.10` 替换为公网IP `203.0.113.5` - 将私有端口 `5124` 替换为映射端口 `6000` 4. **会话跟踪**:建立「内网地址 ↔ 公网地址」的映射关系表,用于反向流量转换 #### 四、支持 ALG 的关键协议 | 协议 | 使用场景 | ALG 修改内容 | 必要性 | |--------|----------------|------------------------------|----------------------| | **FTP** | 文件传输 | `PORT`/`PASV`命令中的IP:Port | 必需(主动模式) | | **SIP** | VoIP电话 | `Via`/`Contact`头字段 | 必需(建立媒体流) | | **H.323**| 视频会议 | 信令中的IP地址 | 必需 | | **DNS** | 域名解析 | A记录响应(需特殊配置) | 可选(NAT过滤场景) | | **ICMP** | 网络诊断 | 错误报文中的原始IP头 | 可选 | #### 五、NAT ALG 的局限性 1. **协议兼容性问题**: - 仅支持标准协议(如非标准端口FTP可能失效) - 无法处理加密协议(如FTPS/SIP over TLS) 2. **安全风险**: - 深度包检测(DPI)可能破坏端到端加密 - 增加NAT设备受攻击面(如协议解析漏洞) 3. **性能损耗**: - 应用层解析消耗CPU资源,降低NAT转发效率 $$ \text{转发延迟增量} \propto \text{载荷解析深度} $$ #### 六、现代替代方案 当ALG不可用或需规避其缺陷时: 1. **协议自适应设计**: - FTP改用被动模式(`PASV`)+ 客户端指定公网IP - SIP协议使用`rport`参数传递客户端公网端口 2. **应用层穿透技术**: - **STUN/TURN**:通过公网服务器协商地址(如WebRTC) - **UPnP IGD**:内网主机主动请求NAT端口映射 #### 七、企业部署建议 | 场景 | 策略 | 说明 | |---------------------|-------------------------------|-----------------------| | **传统应用网络** | 启用FTP/SIP ALG | 保障协议兼容性 | | **加密通信环境** | 禁用ALG + 使用协议自适应 | 避免破坏TLS加密 | | **高性能网关** | ALG硬件加速 + 协议白名单 | 减少CPU负载 | > **配置示例**(企业防火墙): > ```bash > # 启用FTP ALG并指定端口 > security alg ftp port 21 > # 禁用SIP ALG(避免干扰VoIP加密) > no security alg sip > ``` --- ### 相关问题 1. **如何验证NAT设备是否启用了FTP ALG功能?** 2. **为什么SIP over TLS需要禁用ALG?如何解决NAT穿透问题?** 3. **在Wireshark中如何抓包分析ALGFTP PORT命令的修改过程?** 4. **IPv6环境下是否还需要NAT ALG?解释原因。** [^1]: 全局NAT优先级高于接口NAT,同时配置可能导致接口NAT失效 [^2]: NAT通过端口复用解决地址不足问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值