天天看點
傳回

FTP(二)ftp部署與防火牆配置

一、ftp部署

繼上文對ftp原理的分析說明,接下實戰部署ftp伺服器。

1、環境

    CentOS6.8 X64    vsftp

#yum install vsftpd -y

#rpm -qa |grep vsftpd

#vsftpd-2.2.2-21.el6.x86_64

2、配置

   cat /etc/vsftpd/vsftpd.conf|egrep -v '(^$|^#)'

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

<code>#修改預設連接配接端口為10021</code>

<code>listen_port=10021</code>

<code>#不允許匿名連接配接</code>

<code>anonymous_enable=NO</code>

<code>local_enable=YES</code>

<code>write_enable=YES</code>

<code>local_umask=022</code>

<code>dirmessage_enable=YES</code>

<code>xferlog_enable=YES</code>

<code>xferlog_std_format=YES</code>

<code>#開啟通路日志</code>

<code>xferlog_file=</code><code>/var/log/xferlog</code>

<code>dual_log_enable=YES</code>

<code>#開啟連接配接日志</code>

<code>vsftpd_log_file=</code><code>/var/log/vsftpd</code><code>.log</code>

<code>connect_from_port_20=YES</code>

<code>#不允許切換到其他目錄</code>

<code>chroot_list_enable=YES</code>

<code>chroot_list_file=</code><code>/etc/vsftpd/chroot_list</code>

<code>listen=YES</code>

<code>max_clients=20</code>

<code>max_per_ip=2</code>

<code>#限制連接配接速率4M</code>

<code>local_max_rate=409600</code>

<code>pam_service_name=vsftpd</code>

<code>userlist_enable=YES</code>

<code>tcp_wrappers=YES</code>

<code>#開啟被動連接配接模式</code>

<code>pasv_enable=YES</code>

<code>#被動連接配接端口</code>

<code>pasv_min_port=65530</code>

<code>pasv_max_port=65535</code>

重新開機vsftpd服務一個偵聽在10021上的ftp服務配置完成,注意被動的資料傳輸端口在沒有用戶端連接配接時是不會偵聽的,隻有當用戶端成功連接配接了10021連接配接端口時,才會從被動連接配接的端口池中偵聽并等待用戶端連接配接傳輸資料。

二、添加ftp賬号

<code>#useradd -s /sbin/nologin -g ftp -d /data1/ftp/ftpuser  ftpuser</code>

說明:

添加一個本地使用者名ftp 加入到ftp使用者組,shell設定成nologin    家目錄(ftp目錄) /data1/ftp/ftpuser

另外請将ftpuser添加到/etc/vsftp/chroot_list檔案中,如果檔案不存在請建立,以後添加ftp使用者名都添加這裡

目換就是鎖定使用者在自己指定的ftp家目錄中.

<code># cat chroot_list </code>

<code>ftpuser</code>

三、防火牆的配置

    防火牆是很重要的伺服器安全保護措施,切勿在生産線上關閉防火牆,最好是預設進出和forward都為拒絕的政策。本次實戰就是這樣!

cat /etc/sysconfig/iptables

33

34

35

36

37

38

39

<code># Generated by iptables-save v1.4.7 on Wed Apr  1 11:31:59 2017</code>

<code>*filter</code>

<code>#預設進入的政策為拒絕</code>

<code>:INPUT DROP [14:3408]</code>

<code>#預設forward 政策為拒絕</code>

<code>:FORWARD DROP [0:0]</code>

<code>#預設出去的政策為拒絕</code>

<code>:OUTPUT DROP [0:0]</code>

<code>#允許本地網段通路</code>

<code>-A INPUT -s 192.168.118.0</code><code>/24</code>  <code>-j ACCEPT</code>

<code>-A INPUT -s 127.0.0.0</code><code>/8</code>  <code>-j ACCEPT</code>

<code>#允許通路ftp 10021</code>

<code>-A INPUT -p tcp --dport 10021 -m state --state NEW,ESTABLISHED -j ACCEPT</code>

<code>#允許通路 65530- 65535 ftp資料傳輸端口池</code>

<code>-A INPUT -p tcp --dport 65530:65535 -j ACCEPT</code>

<code>-A INPUT -p tcp -m tcp --sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT</code>

<code>-A INPUT -p tcp -m tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</code>

<code>-A INPUT -p icmp -s 127.0.0.1 -j ACCEPT</code>

<code>-A INPUT -p tcp -m tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT</code>

<code>-A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</code>

<code>-A INPUT -p udp -m udp --sport 53 -j ACCEPT</code>

<code>-A INPUT -p udp -m udp --sport 123 -j ACCEPT</code>

<code>#允許本地通路本地網段</code>

<code>-A OUTPUT -d 192.168.118.0</code><code>/24</code> <code>-j ACCEPT</code>

<code>-A OUTPUT -d 127.0.0.0</code><code>/8</code> <code>-j ACCEPT</code>

<code>-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT</code>

<code>-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT</code>

<code>-A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</code>

<code>-A OUTPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT</code>

<code>-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT</code>

<code>-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT</code>

<code>-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT</code>

<code>-A OUTPUT -p tcp --sport 10021 -m state --state ESTABLISHED -j ACCEPT</code>

<code>-A OUTPUT -p tcp --sport 65530:65535 -j ACCEPT</code>

<code>-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT</code>

<code>-A OUTPUT  -m state --state ESTABLISHED -j ACCEPT</code>

<code>COMMIT</code>

<code># Completed on Wed Apr  1 11:31:59 2017</code>

重新開機防火牆即可在伺服器開啟防火牆狀态下,用戶端通路ftp服務!

本文轉自 dyc2005 51CTO部落格,原文連結:http://blog.51cto.com/dyc2005/1940980,如需轉載請自行聯系原作者

監控 網絡安全 網絡監控 安全監控 網絡流實時監控 監控網絡流 網絡環境監控
上一篇: FTP(三)vsftp + ssl搭建安全ftp服務
下一篇: K8S helm

繼續閱讀