先理解主被動的聯(lián)接方式:
FTP協(xié)議有兩種工作方式:PORT方式和PASV方式,中文意思為主動式和被動式。
Port模式:ftp server:tcp
21 <------client:dynamic ftp server:tcp 20 ------>client:dynamic
Pasv模式:ftp server:tcp 21
<----client:dynamic ftp server:tcp dynamic
<----client:dynamic
PORT(主動)方式的連接過程是:客戶端向服務(wù)器的FTP端口(默認(rèn)是21)發(fā)送連接請
求,服務(wù)器接受連接,建立一條命令鏈路。當(dāng)需要傳送數(shù)據(jù)時,客戶
端在命令鏈路上用PORT命令告訴服務(wù)器:“我打開了XXXX端口,你過來連接我”。于是服務(wù)器從20端口向客戶端的XXXX端口發(fā)送連接請求,建立一條
數(shù)據(jù)鏈路來傳送數(shù)據(jù)。
PASV(被動)方式的連接過程是:客戶端向服務(wù)器的FTP端口(默認(rèn)是21)發(fā)送連接請
求,服務(wù)器接受連接,建立一條命令鏈路。當(dāng)需要傳送數(shù)據(jù)時,服務(wù)
器在命令鏈路上用PASV命令告訴客戶端:“我打開了XXXX端口,你過來連接我”。于是客戶端向服務(wù)器的XXXX端口發(fā)送連接請求,建立一條數(shù)據(jù)鏈路來
傳送數(shù)據(jù)。
#allow all ftp incoming connections
iptables -A INPUT -p tcp
--dport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp
--sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
# Enable active ftp transfers
iptables -A INPUT -p tcp
--dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT
-p tcp --sport 20 -m state --state ESTABLISHED -j ACCEPT
# Enable passive ftp transfers
iptables -A INPUT -p tcp
--sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED,RELATED -j ACCEPT