备案控制台
探索云世界
开发者社区 安全 文章 正文

使用iptables做端口转发访问ftp

2016-05-25 4338
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介:
原创作品,允许转载,转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://navyaijm.blog.51cto.com/4647068/816598

用iptables做端口转发是个很实用的功能,可以让我们忽略协议细节而实现透明转发,对于加密的数据传输更是好用。
 

       ftp协议不同于http协议,因为ftp的控制端口和数据端口是分离的,在被动模式下,数据端口是通过控制信息来商定的,所以我们不能简单地对21端口做转发。
注:假定我们是通过在 本机IP 上做NAT设置使 源IP 可以通过 本机IP 访问到 目标IP
        1、首先书写并运行nat命令
modprobe iptable_nat
/sbin/iptables -t nat -A POSTROUTING -d 目标ip  -p tcp --dport 21 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -d 本机ip -p tcp --dport 21 -j DNAT --to-dest 目标IP:21
        2、这个时候可以通过iptables -t nat -L命令进行查看目前nat,现在已经可以进行ftp的连接和登录了,同时一些控制命令也是正常的,但是使用LIST命令就会失败,抓包有如下结果。
                本机IP.00021-源IP.01289: 227 Entering Passive Mode (目标IP,8,215)
                源IP.01289-本机IP.00021: LIST -al
                本机IP.00021-源IP.01289: 425 Security: Bad IP connecting.
        3、出现上述问题的原因是,源IP通过本机IP转发到目标IP,在进入被动模式的时候,目标IP发送了目标的IP给源IP,所以源IP就直接尝试和目标IP建立数据连接,因为建立数据连接和控制连接的ip不同,所以目标IP拒绝访问。
        4、对于这个问题vsftp有一个设置可以放弃这种安全检查,手册是如下说明的:
       pasv_promiscuous
              Set  to  YES if you want to disable the PASV security check that ensures the data connection originates from the same IP address as the control connection.  Only enable if you know what you are doing! The only legitimate use for this is in some form of secure tunnelling  scheme, or perhaps to facilitate FXP support.
              Default: NO
        5、如果按照第4步的说明,配置为pasv_promiscuous,那么这个时候访问ftp是正常的,但是就像上面说的那样,控制连接由本机ip和目标Ip建立,数据连接由源IP和目标IP建立,估计这种情况对于99%的情况来说不是我们想要的。
        6、在进入被动模式的时候,是否可以修改PASV里面的目标IP为本机IP呢,这个就是ip_nat_ftp做得事情,如下安装模块:
                modprobe ip_conntrack_ftp
                modprobe ip_nat_ftp
                可以通过lsmod查看是否生效,我的如下:
ip_conntrack_ftp       76273  0
ipt_MASQUERADE          7873  11
iptable_nat            27237  2 ipt_MASQUERADE
ip_conntrack           45957  3 ip_conntrack_ftp,ipt_MASQUERADE,iptable_nat
iptable_filter          6721  1
ip_tables              21441  3 ipt_MASQUERADE,iptable_nat,iptable_filter
        7、现在在访问一下ftp,则一切正常了。

本文出自 “屌丝运维男” 博客,请务必保留此出处http://navyaijm.blog.51cto.com/4647068/816598

文章标签:
NAT网关
安全
关键词:
iptables端口
端口访问
访问FTP
FTP iptables
iptables端口访问
shy丶gril
目录
相关文章
fensnote
|
16天前
|
网络协议
iptables配置tcp端口转发
iptables配置tcp端口转发
fensnote
24 1
ftw2fzqaoykua
|
7月前
|
弹性计算 关系型数据库 MySQL
通过会话管理端口转发功能访问ECS内部服务
本场景带您体验如何通过ali-instance-cli使用会话管理连接ECS实例,和通过ali-instance-cli对ECS内部服务进行端口转发。
ftw2fzqaoykua
153 0
清雨小竹
|
6月前
|
Linux
centos使用iptables实现nat端口转发
centos使用iptables实现nat端口转发
清雨小竹
243 4
穆雄雄.
|
28天前
|
前端开发 应用服务中间件 nginx
nginx中配置不输入端口(指定地址)访问项目的方法
nginx中配置不输入端口(指定地址)访问项目的方法
穆雄雄.
23 0
懒大王敲代码
|
1月前
|
存储 网络协议 安全
如何搭建外网可访问的Serv-U FTP服务器,轻松远程共享文件!
如何搭建外网可访问的Serv-U FTP服务器,轻松远程共享文件!
懒大王敲代码
46 0
君易--鑨
|
5月前
|
网络协议 应用服务中间件 Linux
LInux之在同一Tomcat下使用不同的端口号访问不同的项目
LInux之在同一Tomcat下使用不同的端口号访问不同的项目
君易--鑨
59 0
你挚爱的强哥
|
4月前
原生表格纵向滚动条
原生表格纵向滚动条
你挚爱的强哥
29 0
流烟默
|
4月前
|
网络安全 Windows
Telnet - 访问8080端口并发送数据
Telnet - 访问8080端口并发送数据
流烟默
69 0
javaNice
|
4月前
|
Java 应用服务中间件 Linux
linux安装jdk1.8 +nginx +springboot 实现通过nginx80转发8888端口访问springboot程序
linux安装jdk1.8 +nginx +springboot 实现通过nginx80转发8888端口访问springboot程序
javaNice
91 0
早九晚十二
|
6月前
|
网络协议
iptables 开放所有端口, 对特殊端口只开放给指定IP
iptables 开放所有端口, 对特殊端口只开放给指定IP
早九晚十二
108 1
为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告
产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理
解决方案技术解决方案
文档与社区文档开发者社区天池大赛培训与认证
权益中心免费试用高校计划企业扶持计划推荐返现计划
支持与服务基础服务企业增值服务迁云服务官网公告健康看板信任中心
关注阿里云
关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务
阿里云APP阿里云微信
联系我们:4008013260
法律声明Cookies政策廉正举报安全举报联系我们加入我们
阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么
© 2009-2024 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015
浙公网安备 33010602009975号浙B2-20080101-4