Este artículo explora en detalle la configuración del firewall iptables para un servidor FTP que utiliza el software vsftpd en sistemas Linux. Se analizarán las diferencias en la configuración de seguridad necesarias dependiendo si el servidor FTP opera en modo activo o pasivo. Entender estos matices es crucial para asegurar la correcta comunicación FTP y evitar bloqueos o problemas de conexión.
El documento se centra en la configuración de iptables para permitir conexiones FTP tanto en modo activo como pasivo, detallando cada paso y explicando las razones detrás de cada regla. Se abordará la importancia de las conexiones RELATED y ESTABLISHED, y se explicará cómo garantizar una comunicación segura y eficiente entre el cliente FTP y el servidor. Además, se especificarán las particularidades de los puertos implicados en cada modo de conexión.
Linux vsftpd防火墙配置
Para configurar correctamente iptables para el servicio vsftpd, es fundamental comprender los dos modos de operación comunes: activo y pasivo. Cada uno presenta requisitos de configuración de firewall distintos que requieren una atención meticulosa. Un fallo en la configuración de iptables puede afectar seriamente la funcionalidad del servidor FTP, por lo que un entendimiento profundo de los procedimientos es clave para la seguridad del sistema.
La correcta configuración del firewall iptables es crucial para la seguridad de un servidor FTP.
主动模式下iptables设置
En el modo activo, el cliente FTP inicia la conexión al servidor a través del puerto 21 (puerto de comando). Luego, el servidor inicia una conexión de datos a un puerto aleatorio en el cliente. Esta comunicación requiere un permiso explícito en el firewall para permitir la conexión entrante al puerto 21 y la salida desde el puerto 20, que es el puerto usado por default para la transferencia de datos en el modo activo. Es fundamental configurar iptables para gestionar estas dos conexiones.
El modo activo necesita una configuración específica para permitir la comunicación entre el servidor FTP y el cliente. Esto implica una configuración en iptables que permita el tráfico entrante en el puerto 21 y el tráfico saliente en el puerto 20.
允许INPUT方向21端口访问
Esta regla permite el tráfico entrante en el puerto 21, que es el puerto utilizado para la conexión inicial entre el cliente y el servidor FTP. Sin esta regla, el cliente no podrá iniciar la conexión con el servidor. Esta regla debe especificar claramente el protocolo TCP para una conexión segura y eficiente.
La configuración de esta regla es fundamental para que el cliente FTP pueda conectarse al servidor.
允许OUTPUT方向20端口通过
Esta regla permite al servidor FTP establecer una conexión de datos (en el puerto 20) con el cliente. Sin esta regla, el servidor FTP no podrá enviar los datos al cliente. Es vital especificar el protocolo TCP para asegurar una conexión confiable.
Permitir el tráfico saliente en el puerto 20 es esencial para la transferencia de archivos en el modo activo.
被动模式下iptables设置
En el modo pasivo, el servidor FTP se comporta de manera diferente. El servidor se mantiene a la escucha en el puerto 21 para recibir comandos, pero la conexión de datos se establece en un rango de puertos especificados por el servidor. Esta flexibilidad permite mayor flexibilidad en las conexiones.
La configuración del modo pasivo es diferente, requiriendo un manejo más complejo de puertos.
服务器接收到PASV命令后
Después de que el cliente solicita la conexión en modo pasivo (comando PASV), el servidor FTP responde con un rango de puertos disponibles para la conexión de datos.
El servidor debe responder con un rango de puertos para que el cliente pueda establecer una conexión de datos. Esto hace crucial la configuración del firewall en el servidor.
若未指定被动模式端口范围
Si no se especifica un rango de puertos para la conexión de datos en el modo pasivo, se requiere el módulo ip_conntrack_ftp. Este módulo permite al firewall identificar y gestionar las conexiones FTP relacionadas. Sin este módulo, el firewall puede no reconocer las conexiones como legítimas.
En ausencia de un rango de puertos especificado, el módulo ip_conntrack_ftp es esencial para que el firewall maneje las conexiones FTP de manera correcta.
需加载ipconntrackftp模块
La carga del módulo ip_conntrack_ftp es fundamental para que el firewall pueda rastrear las conexiones FTP en modo pasivo sin un rango de puertos definido. Esto permite una correcta gestión del tráfico relacionado con la conexión.
Cargar este módulo es un paso esencial para la correcta funcionalidad de las conexiones FTP en modo pasivo.
允许访问21端口及相关联连接
Se debe permitir el acceso al puerto 21 (puerto de comando) para recibir las solicitudes FTP, y todas las conexiones relacionadas a través de conexiones RELATED y ESTABLISHED. Esto permite que las conexiones se completen correctamente.
Permitir el puerto 21 y las conexiones relacionadas garantiza la recepción de comandos FTP y las transferencias de datos correspondientes.
若指定被动模式端口范围
Si se define un rango específico de puertos para las conexiones de datos en modo pasivo (ejemplo: 6666-8888), se deben abrir esos puertos en el firewall además del puerto 21.
Si se establece un rango de puertos, es necesario que el firewall los permita, junto con el puerto 21, para establecer las conexiones de datos correspondientes.
则需开放21端口及指定端口范围
Esto implica permitir el puerto 21 para los comandos y el rango especificado para la conexión de datos.
Abrir el puerto 21 y el rango de puertos designados permite la comunicación de datos en el modo pasivo.
所有情况下,需创建RELATED与ESTABLISHED状态规则
Independientemente del modo (activo o pasivo), se deben crear reglas para los estados RELATED y ESTABLISHED. Estas reglas son esenciales para permitir que las conexiones FTP se completen correctamente.
La correcta creación de las reglas RELATED y ESTABLISHED es vital para la gestión completa de las conexiones.
确保FTP连接正常
Las reglas anteriores, tanto para modo activo como para pasivo, son necesarias para asegurar que las conexiones FTP se establezcan y mantengan sin interrupciones. La correcta configuración de iptables garantizara una conexión fluida.
Se debe garantizar que todas las conexiones FTP se establecen sin problemas a través de la correcta configuración del firewall.
Conclusión
La configuración de un firewall iptables para un servidor FTP con vsftpd requiere una atención meticulosa a los detalles en ambos modos de operación (activo y pasivo). Se deben permitir conexiones entrantes al puerto 21 para las solicitudes de comando, y definir reglas para tráfico saliente según el modo de conexión. La gestión de conexiones RELATED y ESTABLISHED es crucial. La carga del módulo ip_conntrack_ftp es fundamental en ciertos casos, así como la explicitación de un rango de puertos en las conexiones pasivas si es necesario. La correcta configuración de iptables es clave para evitar bloqueos de conexiones FTP y asegurar la comunicación sin problemas entre el cliente y el servidor.
