FTP(二）ftp部署与防火墙配置

Posted 2020-09-24

一、ftp部署

继上文对ftp原理的分析说明，接下实战部署ftp服务器。

1、环境

    CentOS6.8 X64    vsftp

#yum install vsftpd -y

#rpm -qa |grep vsftpd
#vsftpd-2.2.2-21.el6.x86_64

2、配置

   cat /etc/vsftpd/vsftpd.conf|egrep -v ‘(^$|^#)‘

#修改默认连接端口为10021
listen_port=10021
#不允许匿名连接
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
xferlog_std_format=YES
#开启访问日志
xferlog_file=/var/log/xferlog
dual_log_enable=YES
#开启连接日志
vsftpd_log_file=/var/log/vsftpd.log
connect_from_port_20=YES
#不允许切换到其他目录
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
listen=YES
max_clients=20
max_per_ip=2
#限制连接速率4M
local_max_rate=409600
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
#开启被动连接模式
pasv_enable=YES
#被动连接端口
pasv_min_port=65530
pasv_max_port=65535

重启vsftpd服务一个侦听在10021上的ftp服务配置完成，注意被动的数据传输端口在没有客户端连接时是不会侦听的，只有当客户端成功连接了10021连接端口时，才会从被动连接的端口池中侦听并等待客户端连接传输数据。

二、防火墙的配置

    防火墙是很重要的服务器安全保护措施，切勿在生产线上关闭防火墙，最好是默认进出和forward都为拒绝的策略。本次实战就是这样！

cat /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Wed Apr  1 11:31:59 2017
*filter
#默认进入的策略为拒绝
:INPUT DROP [14:3408]
#默认forward 策略为拒绝
:FORWARD DROP [0:0]
#默认出去的策略为拒绝
:OUTPUT DROP [0:0]
#允许本地网段访问
-A INPUT -s 192.168.118.0/24  -j ACCEPT
-A INPUT -s 127.0.0.0/8  -j ACCEPT
#允许访问ftp 10021
-A INPUT -p tcp --dport 10021 -m state --state NEW,ESTABLISHED -j ACCEPT
#允许访问 65530- 65535 ftp数据传输端口池
-A INPUT -p tcp --dport 65530:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT

#允许本地访问本地网段
-A OUTPUT -d 192.168.118.0/24 -j ACCEPT
-A OUTPUT -d 127.0.0.0/8 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp --sport 10021 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --sport 65530:65535 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT  -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Apr  1 11:31:59 2017

重启防火墙即可在服务器开启防火墙状态下，客户端访问ftp服务！

本文出自 “學地止境” 博客，请务必保留此出处http://280872.blog.51cto.com/270872/1940980