我最近一直在测试 FTP 主动传输的问题并且已经缩小了问题的范围。
在我启用 GRSEC 的内核上,FTP 主动传输无法在特权端口上建立。使用相同的配置并绑定到高端口,传输可以正常工作。在非 GRSEC 内核上使用相同的配置可以正常工作。
但是,我既需要默认 ftp 端口也需要 grsec。
我曾考虑使用 iptables REDIRECTs 将默认端口透明地映射到更高的端口,但由于删除了 NAT 功能,这在 IPv6 中不起作用。
我期待建议。
答案1
尝试在你的 grsecurity 配置文件中添加类似于此的新规则(或修改现有规则):
subject /path/to/vsftpd
bind 0.0.0.0/0:21 stream tcp
bind 0.0.0.0/0:1024-65535 stream tcp