对于PureFTPd，如果我不接受iptables中的新连接，被动模式就不能工作

Question

我配置了+ IPTables，但是我的被动模式有问题(谁没有呢？)

我强迫这个港口范围：

echo "1024 65535" > /etc/pure-ftpd/conf/PassivePortRange

在Iptables中，有一些规则处理FTP限制。我对其中一个有问题：

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d $SERVER_IP --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

我想不允许新的连接，但如果我这样做，被动模式不再工作。知道为什么吗？我看不出有什么理由。

Answer 1

ip_conntrack和ip_conntrack_ftp失踪。我把它们添加到/etc/模块和瞧。

Answer 2

存在被动模式，因为否则您将依赖于能够在数据连接的任意端口上连接到客户端。在防火墙之前的日子里，这是很好的，但在这些网络安全和NATted段的日子里，这种尝试很可能会失败。

被动模式通过让客户端在数据传输开始时连接到服务器来解决这个问题。这意味着服务器可以控制允许哪些连接以及在哪些端口上。换句话说，您必须允许从任何地方连接到被动端口(假设您的ftp服务器向世界开放)。

我的建议是大大缩小您的端口范围(我通常选择40000-40100；如果您期望同时进行100次数据传输，显然您需要更大的范围)。出于上述原因，您仍然需要防火墙规则来接受这些传入连接。