使用NAT打造FTP服务新法

1、使用 NAT 打造 FTP 服务新法FTP（File Tran sfer Protocol，文件传输协议）是 In ternet 的传统服务之一。FTP 使用户能在两个联网的计算机之间传输文件，是 In ternet 传递文件最主要的方法。除此之外，FTP 还提供登录、目录查询、文件操作及其它会话控制功能。在系统中FTP 服务使用 23 端口进行通信，在 Window Linux 系统中都可以设置 FTP 服务。NAT（Network Address Translation） 网络地址转换，NAT 服务器就是支持地址转换的代理服务器。当有几个工作站却只有一个合法的上网账户和IP 地址时，可以用

2、 NAT 服务器来实现地址转换。本文主要介绍在 NAT 服务器上设置 FTP 服务。这样的 FTP 服务设置比起其它一些服务， 如WWWE-mial 等要复杂得多。这是由于 FTP 自身的原因，因为 FTP 在连接过程中，分别需 要 Comman和 Data 两个通道才能实现，而其连接的起始方向，对NAT 服务器规则的设置有相当重要的影响。设置规则假设现在 NAT 服务器上有 3 块网卡，它们分别连接不同的网络且分配不同的IP 地址。例如，第一张网卡 A 是用外网 C 类 IP 地址：;第二张网卡接 DMZ 使用 A 类 IP : ;第三张网卡接内部网络，

3、使用C 类 IP 地址： ； DMZ 内有一台主机，IP: ，并且准备提供 FTP 服务（使用 port 21 和 port 2121 ）。如果 DMZ 和外网的路由是通的，那么NAT 服务器上只进行单纯的封包过滤，没有修改packet，而且预设的 policy 都是 DENY 如果 DMZ 和外网的路由是不通的，要如何设置规则，使得 FTP 能顺利向外部提供服务呢？可以用如下命令将第一块网卡的port 21 连接请求转至 的 port 21 来提供服务。方法一：ipcha ins我们用命令：ipmasqadm portfw -a -P t

4、cp -L 21 -R 21 行操作。NAT 服务器上的预设 policy 全为 DEN丫要设置所有必须的规则，让 FTP 能顺利向外提供服务。以如下示例说明：ipchai ns -A in put -i eth0 -p TCP -d 21 -j ACCEPTipchai ns -A forward -p TCP -d 21 -j ACCEPT ipcha ins -A output-i eth1 -p TCP -d 21 -j ACCEPTipchai ns -A in put -i eth1 -

5、p TCP -s 21 -jACCEPTipchai ns -A forward -p TCP -s 21 -j ACCEPT ipcha ins -A output-i eth0 -p TCP -s 21 -j ACCEPT来进ipcha ins -A in put -i eth0 -p TCP-d 2121 -j ACCEPTipchains -A forward -p TCP-d 2121 -j ACCEP ipchai ns -A output-i eth1 -p TCP -d

6、2121-j ACCEPTipcha ins -A in put -i eth1 -p TCP-s 2121 -j ACCEPTipchains -A forward -p TCP-s 2121 -j ACCEP ipcha ins -A output-i eth0 -p TCP -s 2121-j ACCEPT以上是在没有考虑其它安全要求、单就 FTP 服务进行设置的情况下，以 ipchains 作为命令的操作。ipchai ns -A in put -i eth0 -p TCP -d 21-j ACCEPTipc

7、hains -A forward -p TCP-d 21 -j MASipcha ins -A output -i eth1 -p TCP -d 21 -j ACCEPTipchai ns -A in put -i eth1 -p TCP -s 21 -j ACCEPTipcha ins -A forward -p TCP -s 21 -j MASQipchai ns -A output -i eth0 -p TCP -s 21-j ACCEPTipmasqadm portfw -a -P tc

8、p -L 2121 -R 2121ipchai ns -A in put -i eth0 -p TCP-d 2121 -j ACCEPTipchai ns -A forward -p TCP -d 2121 -j MASQipchai ns -A output -i eth1 -p TCP -d 2121-j ACCEPTipcha ins -A in put -i eth1 -p TCP-s 2121 -j ACCEPTipchai ns -A forward -p TCP

9、-s 2121 -j MASQ ipchains -A output-i eth0 -p TCP-s 2121 -j ACCEPTF 面对上述命令进行说明。命令 1: ipchai ns -A in put -i eth0 -p TCP -d 21 -j ACCEPT建立连接用，因为使用ipmasqadm 命令来实现 DNAT1 服务器(port forward)，因此,destiNAT 服务器就成了 NAT 服务器的外部界面。命令 2：ipchains -A forward -p TCP -d 21 -

10、j MASQ *值得注意的是，因为在DNAT 服务器时已经将 destiNAT 服务器 socket 修改过了，也就是封包 input 进来后，外网的 IP ： 会改变为 。而且还要了解 ipmasqadm 这个程序的特点，是当它修改了 input packet 后，就不会再有 ipchains 的 forward 检测， 而是直接根据路由判断后进行 output 。所以，这行是多余的，可以不要。命令 3：ipchains -A output -i eth1 -p TCP -d 21 -j ACCEPT这是经过 DNAT 服务器修改后从

11、 NAT 服务器主机输出到 FTPServer 的封包，必须 ACCEPT 否则连接请求没办法到达 Server 。命令 4：ipchains -A input -i eth1 -p TCP -s 21 -j ACCEPT这是从 FTP Server 回应进来的封包，也一定要ACCEPT命令 5： ipchains -A forward -p TCP -s 21 -j MASQ这里要非常小心，因为假设的前提是DMZ 和外网不能路由，如果封包没做MASQ 处理，那么将无法传送。而且，不要忽略当封包经过ipmasqadm 处理进行 MASQ 后，出去的封包会被还

12、原成 Client 所 expect 的 socket。如果用 ACCEPT 的话是不行的，ipmasqadm 不会对 ACCEPT 规则做还原动作，只有使用MASC 才能将当初被 DNAT 服务器处理过的连接正确的还原为原来的 socket ，即 port 21 。命令 6：ipchains -A output -i eth0 -p TCP -s 21 -j ACCEPT这是还原 socket 后送回到 Client 的回应封包，所以要 ACCEPT命令 7： ipmasqadm portfw -a -P tcp -L 2121 -R 10.0

13、.0.2 2121 *照理说， ftp-data 连接应该是从 port 2121 出去的，换句话说，基本上第一个 syn 的 连接封包是 output 而不是 input 。这样的话，要能成功地将回应封包 (不是起始封包 )forward 到 FTP Server 去，要看 Client 是否知道 ftp-data 的建立 socket 会在 Server 端的 port 2121 上面，也就取决于 DMZ 勺Server 经过 SNAT 服务器之后是否能够成功地用port 2121 来起始ftp-data 通道。命令 8: ipchai ns -A in put -i ethO -p TC

14、P -d 2121 -j ACCEPT *只有上一句的条件成立时，这行命令才有用。命令 9： ipchains -A forward -p TCP -d 1O.O.O.2 2121 -j MASQ *这行和命令 5 的道理一样，如果用命令7 处理后，这行就无须使用了。命令 10 : ipchains -A output -i ethl -p TCP -d 2121 -j ACCEPT不管命令 7 和上一句是否被执行，这行是必须的，因为对于DMZ 勺 FTP Server 来说，不管 NAT 服务器怎么处理，用来做 ftp-data 的 port 还是

15、2121。命令 11 : ipchai ns -A in put -i eth1 -p TCP -s 2121 -j ACCEPT这行也是必须的，理由同上。命令 12 : ipchains -A forward -p TCP -s 2121 -j MASQ这行非常重要！因为 ftp-data 的连接是从 Server 端起始的，也就是当 DMZ 勺 FTP Server 要建立 ftp-data连接时，因为无法路由，所以一定要用MASQ 但与命令 5 比较，因为命令5 的连接之前已经被 ipmasqadm 处理过，所以能正确地还原到原来的socket(por

16、t 21)。但在这里，因为是第一个连接封包，之前不可能被 ipmasaqdm 处理过，是不可能被还原为 port2121 的。取而代之的是，ipchains 会根据 MASQ 勺请求，重新建立一个对外的socket，而port 则是随机产生的，也就是说在102465535 之间。请记住这个特点，我们必须增加下面两行规则：ipchai ns -A output -i eth0 -p TCP -s 1024:65355 -d 0/01024:65535 -j ACCEPT ipcha ins -A in put -i eth0 -p TCP -s 0/01024:65535

17、 -d 1024:65535 -j ACCEPT这样结果是，1024 以上的 port 都能打开连接。这是非常危险的一个操作，因为开放的范围太大，至少应该将来自外网的第一个syn 封包拦截下来，所以上面的 in put 可以修改为：ipchai ns -A in put -i eth0 -p TCP -s 0/0 1024:65535-d 1024:65355 ! -y -j ACCEPT所以，命令 7 和其后紧接着的两行也就没什么作用，可以不要。命令 13 : ipchains -A output -i eth0 -p TCP -s 221.7

18、.128.1 2121 -j ACCEPT *同样，这最后一行也可以不设，因为是多余的。事实上，ftp-data 的 socket 从 NAT服务器主机出去 Clie nt 的时候，是不会使用到port 2121 的。这里，我们并没有使用 passive 模式，所有被*标识的句子，事实上都可省略掉。方法二：iptalbes首先进行 iptables 的设置如下:# Gen erated by iptables-save v1.2.1a on Thu Jun 28 14:45:26 212101# NAT 服务器:PREROUTING DROP 3:144:POSTROUTING ACCEPT

19、2:108:OUTPUT ACCEPT 4:948-A PREROUTING -p udp -m udp -dport 53 -j ACCEPT -A PREROUTING-p udp -m udp -sport 53 -j ACCEPT -A PREROUTING -p tcp -m tcp-dport 113 -j ACCEPT -A PREROUTING -p tcp -m tcp -sport 113 -jACCEPT -A PREROUTING -p icmp -j ACCEPT-A PREROUTING -d -i ethO -p tcp -m tcp -dpor

20、t 21 -j ACCEPT-A PREROUTING -s -i eth1 -p tcp -m tcp-sport 2121 -j ACCEPTCOMMIT# Completed on Thu Jun 28 14:45:26 212101# Gen erated by iptables-save v1.2.1a on Thu Jun 28 14:45:26 212101# filter:INPUT DROP 0:0:FORWARD DROP 0:0:OUTPUT DROP 4:948-A INPUT -p udp -m udp -dport 53 -j ACCEPT-A I

21、NPUT -p udp -m udp -sport 53 -j ACCEPT-A INPUT -p tcp -m tcp -dport 113 -j ACCEPT-A INPUT -p tcp -m tcp -sport 113 -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A FORWARD -p tcp -m tcp -sport 53 -j ACCEPT-A FORWARD -p tcp -m tcp -dport 53 -j ACCEPT-A FORWAF-D -i eth1-p tcp-m tc

22、p-sport21 -j ACCEPT-A FORWARD -i eth0-p tcp-m tcp-dport21 -j ACCEPT-A FORWARD -o eth0-p tcp-m tcp-sport2121 -j ACCEPT-A FORWARD -o eth1-p tcp-m tcp-dport2121 -j ACCEPT-A FORWARD -p icmp -j ACCEPT-A OUTPUT -o lo -j ACCEPT-A OUTPUT -p icmp -j ACCEPT-A OUTPUT -p udp -m udp -dpor

23、t 53 -j ACCEPT-A OUTPUT -p udp -m udp -sport 53 -j ACCEPT-A OUTPUT -p tcp -m tcp -dport 113 -j ACCEPT-A OUTPUT -p tcp -m tcp -sport 113 -j ACCEPT COMMIT# Completed on Thu Jun 28 14:45:26 212101# Gen erated by iptables-save v1.2.1a on Sat Jun 30 16:35:09 212101# NAT 服务器:PREROUTING DROP 0:0:POSTROUTIN

24、G ACCEPT 0:0:OUTPUT ACCEPT 0:0-A PREROUTING -p udp -m udp -dport 53 -j ACCEPT-A PREROUTING -p udp -m udp -sport 53 -j ACCEPT -A PREROUTING-p tcp -m tcp -dport 113 -j ACCEPT -A PREROUTING -p tcp -m tcp-sport 113 -j ACCEPT -A PREROUTING -p icmp -j ACCEPT-A PREROUTING -d -i eth0 -p tcp -m t

25、cp -dport 21 -j# DNATl艮务器到 destiNAT 服务器的地址 :21# （注一）：不用为 port 2121 做 DNAT 服务器-A PREROUTING -s -i eth1 -p tcp -m tcp-sport 21 -j ACCEPT-A PREROUTING -s -i eth1 -p tcp -m tcp-sport 2121 -j ACCEPT-A POSTROUTIN-G tcp -m tcp -s -sport 2121 -jMASQUERADE# （注二）:请留意上一行，在 ip

26、chains 中也有相同的设 计。COMMIT# Completed on Sat Jun 30 16:35:09 212101# Gen erated by iptables-save v1.2.1a on Sat Jun 30 16:35:09 212101# filter:INPUT DROP 0:0:FORWARD DROP 0:0:OUTPUT DROP 0:0-A INPUT -p udp -m udp -dport 53 -j ACCEPT-A INPUT -p udp -m udp -sport 53 -j ACCEPT-A INPUT -p tcp -m tcp -dport

27、 113 -j ACCEPT-A INPUT -p tcp -m tcp -sport 113 -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A FORWARD -p udp -m udp -sport 53 -j ACCEPT-A FORWARD -p udp -m udp -dport 53 -j ACCEPT2121 -j ACCEPT-A FORWARD -p icmp -j ACCEPT-A OUTPUT -p icmp -j ACCEPT-A OUTPUT -o Io -j ACCEPT-A OUTPUT -p udp -m udp -dport 53 -j ACCEPT -A OUTPUT -p udp -mudp -sport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp -dport 113 -jACCEPT -A OUTPUT -p tcp -m tcp -sport 113 -j ACCEPT COMMIT# Completed o