linux(RHEL) 下 FTP(vsftpd) 服务器的防火墙配置

FTP服务器在与客户端通讯的过程中会用到两个端口，一个是控制端口，通常是21/tcp，一个是数据端口，运行在主动模式下的FTP服务器的数据端口一般是20/tcp，运行在被动模式下的FTP服务器的数据端口通常是一个随机端口/tcp。

现今普遍的FTP服务器都是跑在被动服务器模式下(原因这儿不做解释)，这就为服务器的防火墙配置造成了问题，因为被模式下的服务器使用的数据端口不是固定的。

很多初学的朋友普通以为放行21/tcp端口就好了，这是错误的，看下面的实验：

将 iptables 的策略恢复为红帽的默认值

执行 setup > Network configuration > Firewall configuration，选中 Enabled，这样会把 iptables 的策略重置为默认策略，默认策略只开放了sshd服务

安装 ftp 服务器软件并开启 ftp 服务

[root@server1 ~]# yum install -y vsftpd; service vsftpd restart; chkconfig vsftpd on

在 iptables 中开放 21/tcp 端口

[root@server1 ~]# iptables -I INPUT -p tcp --dport 21 -j ACCEPT; service iptables save

客户端访问测试

[root@station1 ~]# ftp server1.example.com

Connected to server1.example.com (192.168.1.61).

220 (vsFTPd 2.2.2)

Name (server1.example.com:root): ftp

331 Please specify the password.

Password:

230 Login successful. 命令通道是通的

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

227 Entering Passive Mode (192,168,1,61,45,120).

ftp: connect: No route to host 数据通道不通

ftp>

为了解决这个，专门开发了名为 nf_conntrack_ftp 的内枋模块。

配置 iptables 使用该模块：

[root@server1 ~]# vim /etc/sysconfig/iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"

[root@server1 ~]# /etc/init.d/iptables restart

这种解决方法是官方推荐的方法，它适用于 RHEL6， 它是当需要使用的时候才加载 nf_conntrack_ftp 模块，而网上流行的开机加载 nf_conntrack_ftp 的方法就会一直占用内存，而不管到底现在有没有使用。

在 RHEL7 中，只需要在 firewalld 中开放预置的 ftp 服务就好了。firewalld 中的 ftp 服务已经为我们配置好了使用 nf_conntrack_ftp 模块。

更多详细资讯可关注银河官方微博(新浪)：@成都银河教育中心

超级网工是中国西部第一家华为认证、思科认证、H3C认证、RedHat认证、Oracle认证、微软认证网络工程师考试培训中心。超级网工，网络工程师培训的超级训练营。