黑帽联盟

标题: 防火墙ftp规则设置-定位原创 [打印本页]
作者: 定位    时间: 2016-11-9 00:56
标题: 防火墙ftp规则设置-定位原创
iptables防火墙规则如下:(ftp是可以连上的,照理说也可以通过20端口获取数据,但就是获取不到)

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       tcp dpt:21 state NEW
      
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.106        0.0.0.0/0           state RELATED,ESTABLISHED

windows上测试结果如下:(就是获取不到数据)
233949pzartzltv7jaf0md.jpg.thumb.jpg

解决方法:

2.6.32之前的内核,iptables模块:ip_nat_ftp、ip_conntrack_ftp、ip_conntrack
而在2.6.32之后,包括此内核,iptables模块被相应的模块取代了:nf_nat_ftp、nf_conntrack_ftp、nf_conntrack

我这里的内核是:
[root@cbh ~]# uname -r
2.6.32-431.el6.x86_64

在这里我们需要加载iptables的ip_nat_ftp、ip_conntrack_ftp模块,就可以解决问题了
modprobe  ip_nat_ftp
modprobe ip_conntrack_ftp(由于ip_conntrack_ftp模块是和ip_nat_ftp相关的,所以这部可以省略)


再次测试:
233950kvq8my6zum66ayyy.jpg.thumb.jpg





欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5