У меня есть веб-сервер, работающий на Centos 6.6. Недавно Config Server Security Firewall отправил мне более 150 писем о каких-то вредоносных ботах, пытающихся угадать ftp-пользователей и пароли моих клиентов. Я ненавижу атаки методом подбора и пытаюсь изменить свой ftp-порт с 21 на ****. Я настроил свой purefptd.conf
# IP address/port to listen to (default=all IP and port 21).
Bind *** # My New Port Here Without 127.0.0.1
Затем я разрешил в своем конфигурационном файле csf новый порт для всех TCP_IN, TCP_OUT, UDP_IN, UDP_OUT как для IPv4, так и для IPv6 и добавил правила iptables, следующие за ресурсами.
iptables -A INPUT -p tcp --dport newport -j ACCEPT
iptables -A OUTPUT -p tcp --dport newport -j ACCEPT
iptables -A INPUT -p udp --dport newport -j ACCEPT
iptables -A OUTPUT -p udp --dport newport -j ACCEPT
service iptables save
service iptables restart
После изменений я перезапускаю pureftpd и csf. Теперь, когда я пытаюсь подключиться к своему ftp-серверу через Filezilla 3.9.0.6, он выдает мне такой ответ.
Response: 227 Entering Passive Mode (*,*,*,*)
Command: MLSD
Error: Connection timed out
Error: Failed to retrieve directory listing
решение1
Я сам нашел ответ. Я изменил строки пассивного соединения в файле конфигурации pureftp следующим образом:
# Port range for passive connections replies. - for firewalling.
PassivePortRange 50000 51000
И разрешил это в файле конфигурации csf, 50000:51000например
TCP_IN IPv4 и IPv6.
Теперь всё работает отлично.