服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 阻塞端口21导致传出FTP失败
Intereting Posts
htaccess的性能:拒绝访问特定的文件和文件夹 nginx的位置和根设置不工作 使用允许使用openLDAPencryption证书 局域网中pipe理交换机上的DNS设置 从LDAP目录获取LDAP密码 Apache(MPM Worker),FastCGI PHP 4 / 5.2 / 5.3和MySQL 5的可用性 升级Oracle时保留SID和TNS 英特尔RSTe上的软件突袭与虚假袭击 SQL服务器空闲时解锁数据库文件 你将使用什么操作系统为一个简单的文件服务器,为什么? networking从Sql Server 2000发送到Windows 7 简单的方法来在几台笔记本电脑上安装XP? 带有Active Directory的小型企业DNS 如何在Linux中删除带有选项字符的文件? 将403错误更改为410错误

阻塞端口21导致传出FTP失败

我最近把我们的服务器从使用FTP转移到SFTP。 我想阻止防火墙中的端口21,因为传入的FTP连接不需要它。 但是,当我这样做时,我的服务器上运行的任何PHP脚本连接到其他系统上的FTP服务器都失败了。 这是我的理解,端口21只用于传入的FTP连接,但我的经验说,否则。

如果我想使用FTP连接到其他服务器,我必须打开21打开吗?

修改前的iptables

Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp any ACCEPT esp -- anywhere anywhere ACCEPT ah -- anywhere anywhere ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ACCEPT udp -- anywhere anywhere udp dpt:ipp ACCEPT tcp -- anywhere anywhere tcp dpt:ipp ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:mysql ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain ACCEPT udp -- anywhere anywhere state NEW udp dpt:domain ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

修改后的iptables: 

 Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp any ACCEPT esp -- anywhere anywhere ACCEPT ah -- anywhere anywhere ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ACCEPT udp -- anywhere anywhere udp dpt:ipp ACCEPT tcp -- anywhere anywhere tcp dpt:ipp ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:mysql ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain ACCEPT udp -- anywhere anywhere state NEW udp dpt:domain ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

如果我想使用FTP连接到其他服务器,我必须打开21打开吗?

是的,但没有。

是的,它必须“打开”到“出站”或“出站”连接。 不,它不需要打开入站连接以便FTP工作。 入口和出口规则是有区别的,所以港口不仅仅是“开放”或“closures”的。 它可以打开input,但不输出,反之亦然。

如果你限制所有的FTP,入站出站,那就是你的服务器无法连接的原因。 检查你的规则,以确保允许stream量,但不在英寸。在iptables,这将适用于该规则适用于什么表。 例如,您的input表将拒绝传入的请求,并且您的输出表将允许ESTABLISHED,RELATED

iptables -L将有助于看到)