Linux中使用有狀態(tài)防火墻實(shí)現(xiàn)FTP功能

本文假設(shè)大家對(duì)netfilter技術(shù)已經(jīng)有了一定了解，介紹利用netfilter的有狀態(tài)功能在inux2.4內(nèi)核上實(shí)現(xiàn)FTP。

系統(tǒng)環(huán)境：

linux7.2,安裝了iptable，squid，有兩塊網(wǎng)卡：

eth0：x.x.x.x 接internet,

eth1：192.168.0.1 接內(nèi)網(wǎng)。

firewall相關(guān)規(guī)則：

以下為引用的內(nèi)容：

　　##Ismod the firewall modules *加載模塊
modprobe ip_tables
insmod ip_conntrack
insmod ip_conntrack_ftp
insmod ip_nat_ftp
 

關(guān)于有狀態(tài)功能，重點(diǎn)在于后三個(gè)模塊：ip_conntrack模塊能夠使防火墻具有連接跟蹤能力。（通過(guò)輸入 "cat /proc/net/ip_conntrack" 可以查看您的機(jī)器參與的活動(dòng)網(wǎng)絡(luò)連接。）加載這個(gè)模塊后，基本上所有有狀態(tài)的返回包都能識(shí)別，例：telnet,http,QQ,mail,ping,dns等。

實(shí)際上，加載了ip_conntrack模塊，ftp已經(jīng)能夠登陸，并能使用象pwd,cd等命令，但當(dāng)使用ls命令顯示文件內(nèi)容時(shí)，就會(huì)timeout。原因在于顯示文件列表的包防火墻無(wú)法識(shí)別，就會(huì)進(jìn)入默認(rèn)策略----禁止，此時(shí)就需要加載ip_conntrack_ftp模塊。

ip_conntrack_ftp模塊使防火墻能夠識(shí)別FTP某類(lèi)特殊的返回包。如果防火墻上對(duì)所有出去的返回包作了偽裝，就需要加載ip_nat_ftp模塊。ip_nat_ftp模塊在出去的包作了偽裝以后，必須加載，否則防火墻無(wú)法知道返回的包該轉(zhuǎn)發(fā)到哪里。

以下為引用的內(nèi)容：
    ##Define the policy *定義默認(rèn)規(guī)則
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 

#MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
 

所有從局域網(wǎng)出去的包偽裝。

以下為引用的內(nèi)容：
#accept lan use ftp *允許所有局域網(wǎng)用戶使用FTP
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 21 -j ACCEPT
打開(kāi)ftp的20,21端口

#accept come back packets from INTERNET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

允許有狀態(tài)的返回包轉(zhuǎn)發(fā)。

關(guān)于netfilter有狀態(tài)基礎(chǔ)知識(shí)，請(qǐng)查看相關(guān)資料。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]