Rendszer ftp-nat

FTP (File Transfer Protocol - File Transfer Protocol). FTP egy magas szintű protokoll, nevezetesen, az alkalmazási réteg (7 réteg az OSI modellben). FTP szolgáltatás épül a jól ismert rendszer „kliens-szerver”, amely lehetővé teszi a felhasználó számára, hogy küldeni / fogadni fájlokat egy távoli szerverre.

A kliens kérést küld a szervernek, és megkapja a fájlokat. Mivel az ügyfelek használhatják - az Internet Explorer, a Windows Commander, NetVampir, gftp stb

A szerver kezeli ügyfél kéri a fájlt. A szerverek is használhatók - vsftpd, IIS, wuftpd, ProFTPD stb

FTP szerver - a futtató számítógép az FTP szerver program. Nyilvános FTP általában elérhető bárki számára, aki eljött néven anonymous vagy ftp. Sok különböző FTP oldalak, amelyek egy archív szabad szoftver Unix.

FTP eltér más alkalmazásokat, hogy két TCP-kapcsolatot fájlmásoláshoz:

Vezérlő csatlakozás - a parancsokat a szerver és választ kap belőle.

Vegyület adatok - kapcsolat a fájlátvitel.

FTP először alakult, a University of California felvétele a 4.2BSD (Berkeley Unix). További részletes információkat Azt javasoljuk, olvasás RFC959.

Működési módok FTP: aktív és passzív

Amikor dolgozik egy FTP kliens és szerver létrehozása két vegyület - a szabályozást (rajta menni parancs) és az adatkapcsolati (it át a fájlokat). A vezérlő kapcsolat ugyanilyen aktív és passzív módban. Az ügyfél kezdeményez TCP-kapcsolat dinamikus portok (1024-65535), hogy a port számát 21 az FTP szerver és egy azt mondja: „Hi! Szeretnék csatlakozni az Ön számára. Itt a nevem és a jelszót. " Ami ezután történik, attól függ, milyen FTP üzemmód (aktív vagy passzív) van kiválasztva.

Az aktív üzemmódban, ha az ügyfél azt mondja: „Hi!” Azt is mondja a szerver port számát (a dinamikus tartomány 1024-65535), hogy a szerver nem tud csatlakozni a kliens, hogy kapcsolatot létesítsen az adatátvitelhez. FTP -server csatlakozik a port számát az ügyfél használ annak cikkszáma TCP-port 20 adatátvitelhez.

Passzív módban, miután az ügyfél azt mondta: „Hi!” A kiszolgáló tájékoztatja az ügyfelet TCP-port számát (a dinamikus tartomány 1024-65535), amely képes kapcsolódni beállítani az adatkapcsolatot. A fő különbség az aktív FTP-módban és passzív FTP-módot - ez az az oldal, amely megnyitja a kapcsolatot az adatátvitelhez. Aktív módban, az ügyfélnek kell fogadni a kapcsolatot az FTP -server. Passzív módban az ügyfél mindig kezdeményezi a kapcsolatot.

Aktív FTP „kedvező” az FTP -server, de a „rossz” az ügyfél. FTP szerver próbál kapcsolódni véletlenszerű magas (szám szerint) portok a kliens, ez a kapcsolat minden bizonnyal tűzfal blokkolja a kliens oldalon.

Passzív FTP-„kedvező” az ügyfél, de a „rossz” FTP -server. Az ügyfél teszi mindkét kapcsolat a szerverrel, de egyikük lesz egy véletlenszerű nagy port, a kapcsolat valószínűleg a tűzfal blokkolja a szerver oldalon.

Kezdeti beállítás tűzfal

Hozzon létre egy minimális szabályokat a mi tűzfal. Ez a példa csak létre annak érdekében, hogy megmutassa az elvet a iptables. További alapos megértése az iptables ajánlom, hogy olvassa el a cikk fordítását Oscar Anderson Andrew Kisileva - Iptables bemutató 1.1.19, amely tekinthető egy klasszikus.

eth0 - úgy néz ki, hogy a helyi hálózaton, eth1 - nézett a világba. Ez a szkript (firewall.sh) kényelmesen használható szabályokon béta fázisban.

Miután minden beállítva, akkor jobb, ha rendszeres iptables eszközök. Ehhez használjon egy script, hogy mentse a jelenlegi szabályok a fájlban. Különböző eloszlások meghatározott szabályok tartható más, mint a / etc / sysconfig / iptables módon. Ez az út a szabvány a Red Hat Linux-klónjai, például CentOS.

De ezeket a beállításokat ftp tűzfalon keresztül nat mindig nem működik. Hogy megkönnyítse a mi feladatunk az általunk használt speciális modul, amelynek célja az volt, csak erre a célra. Ip_nat_ftp terhelés modul, amely mindent megtesz a piszkos munka számunkra.

Megjegyezzük, hogy a lánc eth0 eth1-, melyen keresztül minden kimenő forgalmat, nyitottunk csak 21-es port, és hagyjuk, hogy adja át a csomagokat kapcsolatos állami és létrehozni. Ftp dolgozni mind aktív és passzív módban, semmi több van, minden más aggályok veszi ip_nat_ftp és ip_conntrack_ftp modulokat.

tesztelés

Miután betöltött a modult és szabályok folytassa közvetlenül a tesztelés. Használhatja a kedvenc ftp kliens, és megpróbál csatlakozni bármely FTP szerverre. Mint ügyfél, használtam a beépített FTP kliens messze, amely lehetővé teszi a használatát mind az aktív és passzív módban. Ha kéznél nincs ftp kliens mindig lehet használni a beépített Windows kliens az alábbiak szerint.

Az egyértelműség kedvéért, láthatjuk a tcpdump mi történik, ha megpróbál csatlakozni egy távoli FTP szerverre.

Nos, itt az egész beállítás. Ahhoz, hogy a rendszer minden egyes csizma ip_nat_ftp modul betöltése automatikusan kell, hogy kis változások a / etc / sysconfig / iptables-config.

Aztán, amikor iptables újraindítása, illetve a rendszer egészére, ez a modul automatikusan betöltődik, és töltse fel az összes szükséges modulokat.