iT邦幫忙

0

CentOS 7 iptables已開放,firmwall防火牆已關閉 ,router也開放,telnet無法連進一些已開放的port

這個是iptables的設置:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2082 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 60000:60100 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

這個是router的部分:
https://ithelp.ithome.com.tw/upload/images/20190107/20109333HvkMhBgQ6Y.png
目前只有21有通,20跟60000那組都沒有通
有一點不知道要往那個方向查了。
請問各位先進,還有哪些要注意的地方是我疏忽的?

echochio兄,我補圖在這裡:
https://ithelp.ithome.com.tw/upload/images/20190108/201093330gMxH2rTJp.png

看更多先前的討論...收起先前的討論...
runan5678 iT邦新手 1 級 ‧ 2019-01-07 13:48:08 檢舉
亂猜,selinux沒設定?
snameless iT邦新手 5 級 ‧ 2019-01-07 14:36:29 檢舉
抱歉我沒有講到這個,selinux已經關閉了
ayu iT邦好手 5 級 ‧ 2019-01-07 20:22:16 檢舉
60000~60100 要留給 ftp pasv mode port 用的對嗎?
port 80 443 可以連進嗎?
echochio iT邦研究生 4 級 ‧ 2019-01-08 07:34:29 檢舉
顯示一下,iptables -L 及 iptables -L -t -nat , ifconfig -a , netstat -natp .....
是不是有其他問題? 先 iptables -F 看看是不是正常,還有服務是否有起來?
snameless iT邦新手 5 級 ‧ 2019-01-08 14:09:12 檢舉
port 80 443 有測過可以連

1 個回答

0
ayu
iT邦好手 5 級 ‧ 2019-01-10 04:30:17

你沒有疏忽, 只是不清楚ftp的運作模式其實相當複雜.
可參考一下這份文件:
主動式與被動式 FTP 比較
https://phorum.com.tw/ShowPost/5609.aspx
雖然沒有回覆確認60000~60100是何用途,
但幾乎可以篤定, 是你的ftp daemon設定, 做pasv mode port用的.
簡單講, 平常的port 21, 是 ftp 指令溝通用,
真正要傳送檔案時,
active mode : 開port 20
passive mode: 開pasv port
port 20 或 pasv port 只在資料傳送時才會開, 資料傳送完就關了,
再傳送檔案時會再另開session
.
所以, 你只能用 ftp 實測傳送資料是否正常,
沒辦法用 telnet 去測 ftp data port.

snameless iT邦新手 5 級 ‧ 2019-01-10 14:23:39 檢舉

感謝,我馬上看這份文件

我要發表回答

立即登入回答