Инструменты пользователя

Инструменты сайта


pravila_iptables_dlja_ftp

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

pravila_iptables_dlja_ftp [2018/07/30 03:25] (текущий)
Строка 1: Строка 1:
 +====== iptables и FTP ======
 +~~Title: Правила фаервола iptables для FTP ~~
 +{{htmlmetatags>​
 +metatag-description=(Стандартные правила фаервола iptables для протокола FTP на примерах серверов ProFTPD, vsftpd, Pure-FTPd)
 +}}
 +
 +{{ ::​ftp-02.png?​nolink |}}
 +
 +[[iptables]] для [[FTP]] сервера. ​
 +
 +
 +Если на сервере есть FTP, то необходимо открыть возможность работы с ним в файрволе,​ но тут есть некоторая тонкость,​ если FTP в пассивном режиме,​ используються высшие порты, поэтому лучше в демоне ftp указать эти порты конкретно,​ количество портов расчитывается согласно использованию демона,​ в данном случае выделяется 236 портов:​
 +для
 +  * [[ProFTPD]]:​
 +<​file>​
 +# nano /​etc/​proftpd/​proftpd.conf
 +PassivePorts ​ 50000 50535
 +</​file>​
 +  * [[Pure-FTPd]]:​ нужно создать файл PassivePortRange содержащий одну строку с диапазоном портов,​ разделенных пробелом.
 +<​file>​
 +# nano /​etc/​pure-ftpd/​conf/​PassivePortRange
 +50000 50400
 +</​file>​
 +  * для vsftpd:
 +<​file>​
 +pasv_min_port=60000
 +pasv_max_port=60235
 +</​file>​
 +далее настраиваем фаервол:​
 +<​file>​
 +    iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT # ftp-сервер
 +    iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT # ftp-data для активного режима
 +    iptables -A INPUT -p tcp -m tcp --dport 50000:50534 -j ACCEPT
 +</​file>​
 +или одной строкой с применением критерия multiport
 +<​file>​
 +    iptables -A INPUT -p tcp -m multiport --destination-port 20,​21,​50000:​50400 -j ACCEPT
 +</​file>​
  
загрузка...
pravila_iptables_dlja_ftp.txt · Последние изменения: 2018/07/30 03:25 (внешнее изменение)