vsftpd的工作模式

首先&＃xff0c;讲下FTP的工作模式&＃xff0c;FTP般有2个通道分别为&＃xff1a;

控制通道&＃xff1a;管理用户登录等&＃xff0c;常用端口号&＃xff1a;TCP的21&＃xff1b;客户端主动与服务器建立连接

数据通道&＃xff1a;用户传输数据时所要用到的&＃xff0c;如,浏览目录&＃xff0c;上传、下载等&＃xff1b;这个端口要分2种情况了&＃xff0c;一种当FTP工作在主动模式&＃xff08;默认为主动模式&＃xff09;时开放20端口&＃xff0c;服务器主动用20端口去连接客户端的动态端口&＃xff1b;另一种情况是当FTP工作在被动模式时&＃xff0c;客户端会用自己的动态端口去连接到FTP服务器的动态端口(服务器开放动态端口被客户端连接)。

1、我们知道VSFTP这个软件&＃xff0c;安全性很好&＃xff0c;但是设置时候我们发现vsftp在开放防火墙时烦人得很&＃xff0c;因为VSFTP的控制端口是21,数据端口在被动模式下是动态的&＃xff0c;这一点很头痛&＃xff0c;如果防火墙只开放21端口的话&＃xff0c;client便无法浏览、下载等建立数据通道&＃xff1b;此时可以这样设置&＃xff0c;方法如下 &＃xff1a;

vim /etc/vsftpd/vsftpd.conf

#connect_from_port_20&＃61;YES          #设置数据端口为20&＃xff0c;此行注释&＃xff01;

pasv_enable&＃61;YES                    #启用被动模式

pasv_min_port&＃61;9000               #设置被动模式最小端口

pasv_max_port&＃61;9010              #设置被动模式最大端口

我们再设置防火墙规则&＃xff1a;

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 9000:9010 -j ACCEPT          #放行9000:9010端口

IPTABLES_MODULES&＃61;"ip_nat_ftp ip_conntrack_ftp"             #让kenel加载FTP模块

或modprobe  ip_nat_ftp ip_conntrack_ftp

然后重启vsftpd服务即可&＃xff01;

好处&＃xff1a;ftp客户端无需关心防火墙的设置&＃xff0c;只要在服务器端开放21及数据端口就OK&＃xff01;

2、当FTP服务器工作在主动模式下时&＃xff0c;Linux防火墙要开放21端口及ip_nat_ftp,ip_conntrack_ftp模块&＃xff1b;

如&＃xff1a;vim /etc/sysconfig/iptables-config在最后加上下面2行

IPTABLES_MODULES&＃61;"ip_nat_ftp"
IPTABLES_MODULES&＃61;"ip_conntrack_ftp"

再开防火墙策略&＃xff0c;如下&＃xff1a;

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

另一点要注意的是&＃xff0c;客户端默认状态是被动模式&＃xff0c;一定要记得改为主动模式&＃xff0c;否则你在客户端登录后提示你权限不足&＃xff0c;是因为数据端口的原因&＃xff01;

注意&＃xff1a;FTP客户端的防火墙要开通20数据端口&＃xff01;