ftp連接控制流量

❶ 什麼是ftp流量

就是一段時間內產生的數率量。 FTP的作用 正如其名所示：FTP的主要作用，就是讓用戶連接上一個遠程計算機（這些計算機上運行著FTP伺服器程序）察看遠程計算機有哪些文件，然後把文件從遠程計算機上拷到本地計算機，或把本地計算機的文件送到遠程計算機去。

❷ FTP文件上傳超時問題

FTP文件傳送超時情況有很多種
1、網速過慢或者網速不穩定，當文件傳送太慢的時候會出現網路超時，也是傳送超時。
2、可能是FTP空間不夠，或者是許可權不夠，也會出現傳送文件超時。
3、就是可能是FTP的流量控制。

❸ 控制網路流量的軟體

網路流量控制軟體——LaneCat網貓功能詳細介紹

主要功能有：

註：網路流量控制某些功能正在開發測試之中。

一、郵件監控--全面監控區域網內計算機所有收發的郵件：

LaneCat能實時記錄區域網內計算機所有收發的郵件（pop3/smtp協議），同時檢測並記錄其網卡地址、所用的IP地址、收發時間、標題、收件人/發件人、附件、內容及郵件大小等信息。

二、網頁監控--記錄每個用戶上網瀏覽過的網頁：

LaneCat能實時記錄區域網內所有用戶上網瀏覽過的網頁（包括網頁標題、網頁內容、所屬網站、網頁大小等），並以網頁快照的形式供管理者查看。

三、FTP文件監控--保存上傳下載（FTP協議）的文件：

LaneCat能實時記錄網內所有用戶通過FTP協議上傳下載的文件。

四、聊天監控--監控各類聊天工具的使用：

LaneCat能實時監控區域網內用戶使用各類聊天工具的情況，檢查出在線用戶所使用的聊天工具、聊天ID、上線時間等情況，並保存相關信息。LaneCat還能實時監控網內用戶使用MSN的所有聊天內容，實現MSN、QQ文件傳輸內容的監控。

五、流量監視與限制：網路流量控制

LaneCat網路流量控制軟體，可查看區域網內用戶的上網即時流量以及流量走勢，並可進行方便的流量限制設置。

六、游戲監視--可監視網路游戲行為，並可自定義需要監視的網路游戲；

七、自定義監視--可自定義被監視的網路應用，比如BT、股票軟體、FlashGet等；

八、埠級的上網控制：

包括：網站瀏覽控制、郵件收發控制、聊天行為控制、游戲行為控制、自定義行為控制、埠級控制；所有的控制都可針對3層對象（網路、分組、電腦），都可針對指定的時段，都可針對指定的協議TCP/UDP；可通用的自由定義，全系列埠級管理；

1、 可禁止瀏覽網頁、只允許瀏覽指定網站（白名單）、禁止瀏覽指定網站（黑名單）；

2、 可禁止收發郵件、只允許收發指定郵局（白名單）、禁止收發指定郵局（黑名單）；

3、 可禁止所有的聊天行為（比如QQ、MSN、ICQ、YAHOO、UC、POPO、E話通等），並可自行增加聊天行為控制列表；

4、 可禁止網路游戲（比如聯眾、中國游戲中心等等），並可以自行增加網路游戲行為控制列表；

5、 可禁止自定義控制列表，比如股票軟體、BT軟體等，並發起阻斷；

6、 可進行嚴格的UDP/TCP整個網段的全系列埠級別的控制，支持黑名單和白名單功能；

九、其他功能：

1、 內容過濾功能：全部監視、不監視、只監視部分應用，及網站過濾黑白名單功能；

2、 IP和MAC綁定：禁止MAC地址修改、禁止所有IP地址修改、禁止部分IP地址修改；有效防止非法用戶訪問網路資源；

3、 用戶管理：分組增加刪除、用戶名修改、鎖定分組刷新、監視對象設置等；

4、 採用C/S管理模式，支持分級許可權管理。LaneCat支持引擎和客戶端程序分開，支持多客戶連接，允許對不同操作用戶賦予不同的監控許可權。如果是有固定外部IP，可以遠程管理和查看；

5、 跨平台監控：被監控電腦也可以是Unix 、linux 等其他操作系統；

6、 一機運行，整網管理：不需要在被監控和被管理的電腦上安裝任何軟體；

7、 支持攔截內容的壓縮、備份、恢復；

8、 支持多網段監視；

9、 詳細而實用的監控記錄報表以及列印功能；

註：更詳細網路流量控制功能請訪問此網頁：http://www.lanecat.cn/service/flow_moni.asp

❹ 如何藉助vsftpd在Linux上構建安全的FTP服務

FTP(文件傳輸協議)是互聯網上廣泛使用的服務之一，主要用於將文件從一個主機傳輸到另一個主機。FTP本身當初不是作為一種安全協議而設計的;正因為如此，典型的FTP服務很容易遭受諸如中間人攻擊和蠻力攻擊之類的常見攻擊。

許多具有安全功能的應用程序可用來構建安全的FTP服務。比如說，FTPS(安全Secure)使用SSL/TLS證書，對端到端數據進行加密。基於客戶端的需求，FTPS可加以配置，以支持經過加密及/或未經過加密的連接。SFTP(SSH文件傳輸協議)是另一種為傳輸中數據確保安全的方法。SFTP是作為SSH的一種擴展技術而開發的，同樣可以結合其他安全協議使用。
本教程將著重介紹藉助SSL/TLS已被啟用的vsftpd，構建和保護FTP服務。
先稍微介紹一下背景：典型的FTP伺服器偵聽TCP埠20以監視數據、偵聽TCP埠以監視命令(又叫控制埠)。連接的建立和命令參數的交互都通過埠21來完成。FTP連接支持兩種方法：主動模式和被動模式。在主動模式下的連接建立過程中，伺服器建立一條從其埠20(數據)到客戶機的連接。在被動模式下，伺服器為每一個客戶機會話專門指定了隨機性數據埠，並將該埠通知客戶機。隨後，客戶機建立一條通向伺服器隨機性埠的連接。
據RFC 1635顯示，FTP支持通過特殊用戶anonymous進行的公眾訪問，不需要任何密碼，或者通過用戶ftp、使用密碼ftp來進行訪問。除了這類公眾用戶外，vsftpd還支持本地Linux用戶進行的登錄。Linux用戶可以通過使用FTP連接到伺服器，並提供登錄信息，訪問其主目錄，即/home/user。
把vsftpd安裝到Linux上
如果想把vsftpd安裝到Ubuntu、Debian或Linux Mint上，可以使用apt-get命令。系統一啟動，vsftpd服務就會自動啟動。
$ sudo apt-get install vsftpd

如果想把vsftpd安裝到CentOS、Fedora或RHEL上，我們可以使用yum來輕松完成安裝。服務啟動後，還被添加到系統啟動項。
# yum install vsftpd
# service vsftpd start
# chkconfig vsftpd on

使用vsftpd的一種最基本的FTP服務現已准備好使用。我們只要將瀏覽器指向URL ftp://[ServerName/IP]，或者使用FileZilla等FTP客戶軟體、使用用戶名anonymous，無需密碼來連接，或使用用戶名ftp、密碼ftp來連接，就可以訪問FTP服務。
vsftpd安裝完畢後，系統用戶ftp連同主目錄/var/ftp已被添加到系統中。只要建立了匿名FTP連接，會話總是默認使用/var/ftp目錄。所以，我們可以將該目錄用作FTP公眾用戶的主目錄。放在/var/ftp下面的任何文件/目錄都可以通過ftp://[ServerName/IP]加以訪問。
vsftpd配置文件的位置出現在下面兩個地方：
•Ubuntu、Debian或Linux Mint：/etc/vsftpd.conf
•CentOS、Fedora或RHEL：/etc/vsftpd/vsftpd.conf

在本教程的其餘部分，使用你Linux系統上的對應位置的vsftpd.conf文件。
調整FTP用戶
如果想禁用公眾訪問，我們就要在vsftpd.conf中明確禁止用戶anonymous。注釋掉這一行不管用，因為vsftpd使用默認值運行。你還需要重啟vsftpd。
anonymous_enable=NO
# service vsfptd restart

因而就要啟用強制性驗證;只有現有的Linux用戶才能夠使用其登錄信息來進行連接。
若想啟用/禁用本地用戶，我們可以修改vsftpd.conf文件。如果我們禁用本地用戶，就得確保用戶anonymous已被授予訪問許可權。
local_enable=YES/NO
# service vsfptd restart

如果想使用特定用戶連接到系統，我們只要將URL改成ftp://username@[ServerName/IP]。相應用戶的主目錄可使用這種方法，通過FTP來加以訪問。
將用戶限制在各自的主目錄
用戶使用FTP訪問遠程伺服器時，用戶可以瀏覽整個系統，只要文件/目錄是可讀取的。根本不建議這么做，因為任何用戶都能通過FTP會話，讀取和下載/etc、/var、/usr 及其他位置下面的系統文件。
想限制本地用戶在FTP會話期間只能訪問各自的主目錄，我們可以修改下面這個參數。
chroot_local_user=YES
# service vsftpd restart

現在，本地用戶只能夠訪問其主目錄了，無法訪問系統中的其他任何文件或目錄。
啟用SSL/TLS加密
FTP原本是一種明文協議，這意味著誰都可以輕松窺視在客戶機與遠程FTP伺服器之間所傳輸的文件。想對FTP通信內容進行加密，可以啟用vsftpd中的SSL/TLS。
第一步是創建SSL/TLS證書和私鑰，如下所示。它會將所創建的證書/私鑰存放在目標.pem文件中。
在Debian/Ubuntu上：
$ sudo openssl req -x509 -days 365 -newkey rsa:2048 –node
s -keyout /etc/vsftpd.pem -out /etc/vsftpd.pem

在CentOS/Fedora/RHEL上：
$ sudo openssl req -x509 -days 365 -newkey rsa:2048 –node
s -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

然後，將下面這些參數添加到vsftpd.conf配置文件中。
# 啟用TLS/SSL
ssl_enable=YES
# 強迫客戶機在登錄時使用TLS
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
# 指定SSL證書/私鑰(Debian/Ubuntu)
# 如果是CentOS/Fedora/RHEL，將其換成/etc/vsftpd/vsftpd.pem
rsa_cert_file=/etc/vsftpd.pem
rsa_private_key_file=/etc/vsftpd.pem
# 為被動模式下的連接定義埠范圍
pasv_max_port=65535
pasv_min_port=64000

最後重啟vsftpd。
# service vsftpd restart

控制連接和帶寬
vsftpd提供了幾種方法來控制連接和用戶帶寬。我們將使用幾種方法來調整我們的FTP伺服器。
## 為每個匿名會話分配的帶寬設置為大約30 KB/s ##
anon_max_rate=30000
## 每個本地用戶被授予大約30 KB/s的帶寬##
local_max_rate=30000
## 客戶機會話閑置300秒後被終止##
idle_session_timeout=300
## 每個源IP地址的最大連接數量，這有助於防範拒絕服務(DoS)和分布式拒絕服務攻擊(DDoS)#
max_per_ip=50

調整防火牆
最後，如果你在系統(比如CentOS)上運行iptables防火牆，就要確保調整防火牆規則，允許FTP流量通過。下面這些規則應當有助於你開始上手。
# iptables -I INPUT -p tcp --dport 20 -j ACCEPT
# iptables -I INPUT -p tcp --dport 21 -j ACCEPT
# iptables -I INPUT -p tcp --dport 64000:65535 -j ACCEPT

頭兩條規則允許流量通過FTP數據/控制埠。最後一條規則允許被動模式下的連接，其埠范圍已經在vsftpd.conf中予以定義。
啟用日誌功能
萬一你在本教程的FTP服務構建過程中遇到任何問題，可以啟用日誌功能，為此只需修改vsftpd.conf中的下面這個參數：
xferlog_enable=YES
xferlog_std_format=NO
xferlog_file=/var/log/vsftpd.log
log_ftp_protocol=YES
debug_ssl=YES
# service vsftpd restart

藉助FileZilla連接到FTP伺服器
現在有幾款FTP客戶軟體支持SSL/TLS，尤其是FileZilla。想通過FileZilla連接到支持SSL/TLS的網站，就要為FTP主機使用下列設置。

你頭一次連接到支持SSL/TLS的FTP伺服器後，會看到該網站的證書。只管信任證書、登錄上去。

為sftpd排查故障
1. 如果你在連接到FTP伺服器的過程中遇到了下面這個錯誤，這可能是由於你的防火牆阻止FTP流量。為此，確保你在防火牆上打開了必要的FTP埠，如上所述。
ftp: connect: No route to host

2. 如果你連接到在CentOS/RHEL上運行的使用chroot改變根目錄的FTP伺服器時遇到了下面這個錯誤，禁用SELinux是一個辦法。
500 OOPS: cannot change directory:/home/dev
Login failed.

雖然關閉SELinux是一個快速的解決辦法，但在生產環境下這么做可能不安全。所以，改而打開SELinux中的下列布爾表達式可以解決這個問題。
$ sudo setsebool -P ftp_home_dir on

3. 如果你通過FileZilla訪問支持SSL/TLS的FTP伺服器時遇到了下列錯誤，就要確保在vsftpd.conf中添加「ssl_ciphers=HIGH」。FileZilla並不支持默認密碼(DES-CBC3-SHA)。
Trace: GnuTLS alert 40: Handshake failed
Error: GnuTLS error -12: A TLS fatal alert has been received.
"SSL_accept failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher"

總而言之，使用vsftpd構建FTP伺服器並非難事。針對用戶anonymous的默認安裝應該能夠支持小型的常見FTP服務。Vsftpd還有許多可以調整的參數(詳見http://linux.die.net/man/5/vsftpd.conf)，讓它顯得用途廣泛。