起初听同事在服务器上搞ftp,起初说ftp只能登录,不能发数据,后来又听说好了,询问后,听说只开了21端口,而且用的被动模式,自己觉得很纳闷,稍微细心点的,都知道,ftp被动模式不可能只开21端口的,而且又得知没有加载防火墙的ftp模块,不由的想弄个究竟。
用nmap扫了一下,发现,服务器上的1w一下在用的大小端口都在对外,赶紧告知,并要来了ssh帐号密码,上去看个究竟,发现防火墙策略都ok,只开放了21端口、ssh的登录端口,只是默认策略是ACCEPT,将默认策略关闭为DROP后,发现一切正常,但是奇怪,为什么以前的很多centos5.5的服务器默认策略也都是ACCEPT,为什么这台换成6.3,就不行了?难道是新版本的防火墙默认策略不同?
打开虚拟机,开始测试,使用自带的防火墙规则,并且使用ACCEPT默认策略,添加相同的服务,开启相同的端口,使用nmap进行扫描,nmap -PN a.b.c.d,发现,一切正常啊,只有防火墙开启的端口才会被扫描出来,为什么会这样?
同时打开测试机的iptables文件,和服务器上进行对比,发现,少了一条:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
询问后发现,开始没办法连,他删除了这条,然后就ok了……我自己本身对系统默认自带的防火墙规则,也没有仔细看过,今天遇到这事儿,也算是学习了
其实这条策略,充当了iptables的默认策略,将所有不匹配的策略,进行拦截,并发送icmp-host-prohibited回执。
弄清楚原因后,在服务器上修改了默认策略为DROP,再用nmap扫描,端口开放上正常了,但是又有新问题,ftp使用的是被动模式,没办法进行连接,这就好办了,添加上模块,这才算完工。