Linux防火墙端口配置和ftp修改端口
2017-12-20 14:07
417 查看
荆轲刺秦王
Linux系统在当做网站服务器运行时,具有很高的效率和运行稳定性。windows系统下可以通过系统防火墙来限制外部计算机对服务器端口的访问,而Linux是通过iptables来允许或限制端口访问的。
一:命令:vi /etc/sysconfig/iptables
[root@admin ~]# vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #(ssh端口)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT #(web端口)
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT #(ftp端口)
-A INPUT -m state --state NEW -m tcp -p tcp --dport 20000:30000 -j ACCEPT #(ftp被动模式端口范围)
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT #(mysql端口)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8888 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
"/etc/sysconfig/iptables" 23L, 1147C 23,1 All
二:修改完防火墙iptables后,需要重新启动:
/etc/init.d/iptables restart
或者:
service iptables restart
注意:iptables配置文件存放位置是:/etc/sysconfig/iptables
保存命令:service iptables save
使用命令:iptables -L -n 可以查看当前iptables的开放端口情况。
检查iptables服务:
[root@admin ~]# chkconfig --list iptables
iptables 0:off 1:off 2:off 3:on 4:off 5:off 6:off
iptables服务开机自动启动:
[root@admin ~]# chkconfig iptables on
上面开放的端口后面都有注明,有一个要注意的地方,就是FTP端口,FTP的默认端口21肯定要开放,但是一般的ftp
软件都是默认先尝试几次被动模式PASV连接,在PASV模式连接失败后,才会进行主动模式PORT连接。
如果我们仅仅开放21端口,这里就有问题了。FTP PASV模式下,还会随机使用一个空闲端口,这个端口范围在20000-30000之间。所以,我们需要把这个端口范围加入防火墙:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 20000:30000 -j ACCEPT
关于FTP的PASV被动模式和PORT主动模式的说明详情见:http://dutianzhao.iteye.com/blog/2154006
接下来就需要找到我们的:pure-ftpd.conf
[root@admin ~]# cd /usr/local
[root@admin local]# ls
bin imagemagick lib64 memcached openssl python share
etc include libexec mysql php redis src
games lib man nginx pureftpd sbin
[root@admin local]# cd pureftpd
[root@admin pureftpd]# ls
bin etc sbin share
[root@admin pureftpd]# cd etc
[root@admin etc]# ls
pure-ftpd.conf pureftpd.passwd pureftpd.pdb pureftpd_psss.tmp
[root@admin etc]# vim pure-ftpd.conf
然后就可以看到:
[root@admin etc]# vim pure-ftpd.conf
# AntiWarez yes
#
#
#
# # IP address/port to listen to (default=all IP and port 21).
#
Bind ,2121
(就是这里,注意把注释去掉!!!否则没有效果)
#
(可以使用"/Bind"搜索)
#
#
# # Maximum bandwidth for anonymous users in KB/s
#
# # AnonymousBandwidth 8
#
#
#
# # Maximum bandwidth for *all* users (including anonymous) in KB/s
# # Use AnonymousBandwidth *or* UserBandwidth, both makes no sense.
#
# # UserBandwidth 8
# "pure-ftpd.conf" 444L, 10938C 216,0-1 48%
#
-- INSERT -- 242,3 49%
AntiWarez yes
# IP address/port to listen to (default=all IP and port 21).
Bind ,2121
# Maximum bandwidth for anonymous users in KB/s
# AnonymousBandwidth 8
# Maximum bandwidth for *all* users (including anonymous) in KB/s
# Use AnonymousBandwidth *or* UserBandwidth, both makes no sense.
# UserBandwidth 8
"pure-ftpd.conf" 444L, 10938C 216,0-1 48%
最后重启Pure-Ftpd:
service pureftpd {start|stop|restart|status}
[root@admin oneinstack]# service pureftpd restart (注意是在oneinstack目录下)
Stopping pure-ftpd:
Starting pure-ftpd:
Linux系统在当做网站服务器运行时,具有很高的效率和运行稳定性。windows系统下可以通过系统防火墙来限制外部计算机对服务器端口的访问,而Linux是通过iptables来允许或限制端口访问的。
一:命令:vi /etc/sysconfig/iptables
[root@admin ~]# vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #(ssh端口)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT #(web端口)
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT #(ftp端口)
-A INPUT -m state --state NEW -m tcp -p tcp --dport 20000:30000 -j ACCEPT #(ftp被动模式端口范围)
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT #(mysql端口)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8888 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
"/etc/sysconfig/iptables" 23L, 1147C 23,1 All
二:修改完防火墙iptables后,需要重新启动:
/etc/init.d/iptables restart
或者:
service iptables restart
注意:iptables配置文件存放位置是:/etc/sysconfig/iptables
保存命令:service iptables save
使用命令:iptables -L -n 可以查看当前iptables的开放端口情况。
检查iptables服务:
[root@admin ~]# chkconfig --list iptables
iptables 0:off 1:off 2:off 3:on 4:off 5:off 6:off
iptables服务开机自动启动:
[root@admin ~]# chkconfig iptables on
上面开放的端口后面都有注明,有一个要注意的地方,就是FTP端口,FTP的默认端口21肯定要开放,但是一般的ftp
软件都是默认先尝试几次被动模式PASV连接,在PASV模式连接失败后,才会进行主动模式PORT连接。
如果我们仅仅开放21端口,这里就有问题了。FTP PASV模式下,还会随机使用一个空闲端口,这个端口范围在20000-30000之间。所以,我们需要把这个端口范围加入防火墙:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 20000:30000 -j ACCEPT
关于FTP的PASV被动模式和PORT主动模式的说明详情见:http://dutianzhao.iteye.com/blog/2154006
接下来就需要找到我们的:pure-ftpd.conf
[root@admin ~]# cd /usr/local
[root@admin local]# ls
bin imagemagick lib64 memcached openssl python share
etc include libexec mysql php redis src
games lib man nginx pureftpd sbin
[root@admin local]# cd pureftpd
[root@admin pureftpd]# ls
bin etc sbin share
[root@admin pureftpd]# cd etc
[root@admin etc]# ls
pure-ftpd.conf pureftpd.passwd pureftpd.pdb pureftpd_psss.tmp
[root@admin etc]# vim pure-ftpd.conf
然后就可以看到:
[root@admin etc]# vim pure-ftpd.conf
# AntiWarez yes
#
#
#
# # IP address/port to listen to (default=all IP and port 21).
#
Bind ,2121
(就是这里,注意把注释去掉!!!否则没有效果)
#
(可以使用"/Bind"搜索)
#
#
# # Maximum bandwidth for anonymous users in KB/s
#
# # AnonymousBandwidth 8
#
#
#
# # Maximum bandwidth for *all* users (including anonymous) in KB/s
# # Use AnonymousBandwidth *or* UserBandwidth, both makes no sense.
#
# # UserBandwidth 8
# "pure-ftpd.conf" 444L, 10938C 216,0-1 48%
#
-- INSERT -- 242,3 49%
AntiWarez yes
# IP address/port to listen to (default=all IP and port 21).
Bind ,2121
# Maximum bandwidth for anonymous users in KB/s
# AnonymousBandwidth 8
# Maximum bandwidth for *all* users (including anonymous) in KB/s
# Use AnonymousBandwidth *or* UserBandwidth, both makes no sense.
# UserBandwidth 8
"pure-ftpd.conf" 444L, 10938C 216,0-1 48%
最后重启Pure-Ftpd:
service pureftpd {start|stop|restart|status}
[root@admin oneinstack]# service pureftpd restart (注意是在oneinstack目录下)
Stopping pure-ftpd:
Starting pure-ftpd:
相关文章推荐
- Linux下FTP端口修改配置及日常问题解决
- CentOS 配置防火墙操作实例(启、停、开、闭端口)CentOS Linux-FTP/对外开放端口(接口)TomCat相关
- Linux配置防火墙 开启80端口、3306端口的方法
- Linux配置防火墙添加端口(Ubuntu/Debian无法使用此方法)
- Linux防火墙iptables配置开放某个端口
- linux配置防火墙打开3306端口
- linux配置防火墙,开启80端口、3306端口的方法
- Linux配置防火墙,开启端口
- 批处理修改远程桌面端口,并修改相应的防火墙配置
- Linux配置防火墙 开启或关闭端口
- #Linux NFS服务 固定端口及防火墙配置#
- linux配置免密码登录———— linux服务器可以ping通,但是访问不了--Ip地址:端口--关闭防火墙
- Linux配置防火墙,开启80端口、3306端口
- Linux Tomcat安装,Linux配置Tomcat,Linux Tomcat修改内存,Linux tomcat修改端口
- 网卡配置和DNS配置,手动挂在nas存储的共享目录,网络相关其它操作命令,修改防火墙中的端口配置,resolv.conf配置详细介绍和网卡信息配置详细介绍
- Linux配置防火墙 开启端口
- 网卡配置和DNS配置,手动挂在nas存储的共享目录,网络相关其它操作命令,修改防火墙中的端口配置,resolv.conf配置详细介绍和网卡信息配置详细介绍
- Linux配置防火墙,开启80端口、3306端口 可能会遇到的小问题
- linux上配置tomcat之 CentOS 7 开放防火墙端口命令