大家都知道ftp有一种模式是PA.SV,这个.模式的特点是client会先和server的21端口通讯,然后21端口会给client一个回应包,.并告知client与哪个端口进行数据传输.同时起用一个本地的高端端口listen.这时客户端会找这个高端端口进行数据交.换.电影
此时我们做iptables的时候. 在INPUT链里必须.要加一个NEW的state参数.否则的话,是不能成功的连接ftp服务器的. 杀毒
iptables -A .INPUT -d x.x.x.x -p tcp -m multipor.t --dports 21,22 -j ACCEPT.
iptable.s -A INPUT -d x.x.x.x -p tcp -m state --state NE.W -j ACCEPT虚拟主机
iptab.les -A INPUT -j DROP教育
iptables -A OUTPUT -s x.x.x.x -p tcp -m state --state .ESTABLISH.ED,RELA.TED -j ACCEPT.
ip.tables -A OUTPUT -j DROP. .
这样以来就可以连上ftp服务了,但是这有一问题,就是NEW参数,是不是有了这个参数以后.,任何一个基于tcp/ip的连接都能进来?虽然系统没有其他的服务端口是开着的.,但是这.种垃圾数据包还是能够透过内核.就算不会产生什么攻击行为,但是如果有扫描的话,这样是不是.内核会很累?投资
我们如何采用一种更安全的i.ptables策.略来实现对ftp PASV模式的安全过滤呢? 美容
