FTP 서비스는 일반적인 인터넷 서비스와는 달리 두 가지의 port를 사용합니다.
명령어와 응답을 주고받는 command(control) port(일반적으로 21번) 와 실제 데이터를 주고받는 data port(일반적으로 20번) 로 구성된 TCP 기반 서비스입니다.
여기서 Active / Passive 모드는 data port의 접속 방식에 따라서 구분합니다.
FTP 모드에 따른 iptables 설정
passive 모드의 경우, 사용하는 ftp 설정 파일에서도 사용할 passive 포트를 지정해 줘야 함.
iptable 적용 및 ftp 재실행.
명령어와 응답을 주고받는 command(control) port(일반적으로 21번) 와 실제 데이터를 주고받는 data port(일반적으로 20번) 로 구성된 TCP 기반 서비스입니다.
여기서 Active / Passive 모드는 data port의 접속 방식에 따라서 구분합니다.
- Active 모드
서버가 클라이언트의 data 포트에 접속 시도
클라이언트의 방화벽에서 차단될 가능성이 큼 - Passive 모드
클라이언트가 직접 서버의 data 포트에 접속 시도
클라이언트에서 서버에 직접 접근하는 방식이므로 보안상 문제점이 존재
FTP 모드에 따른 iptables 설정
# vi /etc/init.d/iptables
#!/bin/sh
#
# flush all chain
/sbin/iptables -F
# accept service port :::::: Active mode
/sbin/iptables -A INPUT -p tcp --sport 1024: --dport 20 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW -j ACCEPT
# accept service port :::::: Passive mode
/sbin/iptables -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --dport 60001:60020 -j ACCEPT
#!/bin/sh
#
# flush all chain
/sbin/iptables -F
# accept service port :::::: Active mode
/sbin/iptables -A INPUT -p tcp --sport 1024: --dport 20 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW -j ACCEPT
# accept service port :::::: Passive mode
/sbin/iptables -A INPUT -p tcp --sport 1024: --dport 21 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --dport 60001:60020 -j ACCEPT
passive 모드의 경우, 사용하는 ftp 설정 파일에서도 사용할 passive 포트를 지정해 줘야 함.
iptable 적용 및 ftp 재실행.
WRITTEN BY
- 손가락귀신
정신 못차리면, 벌 받는다.
,
