DHCP和FTP（原理+实操）

DHCP

使用DHCP（自动分配IP）的好处

1. 减少管理员的工作量
2. 避免输入错误的可能
3. 避免IP地址冲突
4. 当更改IP地址段时，不需要重新配置每个用户的IP地址
5. 提高了IP地址的利用率
6. 方便客户端的配置

分配方式

1. 自动分配:分配到一个IP地址后永久使用（打印机）
2. 手动分配:由DHCP服务器管理员专门指定IP地址
3. 动态分配:使用完后释放该IP，供其它客户机使用（地址池）

租约过程

客户机从DHCP服务器获得IP地址的过程

第一次

1. 客户端在网络中搜索服务器—discover
2. 服务器向客户端响应服务—offer
3. 客户端向目标服务器发出服务请求—request
4. 服务器向客户端提供服务—ack

重新登录

客户端向目标服务器发出服务请求—request

服务器向客户端提供服务—ack

更新租约

1. 当DHCP服务器向客户机出租的IP地址租期达到50%时就需要更新租约
2. 客户机直接向提供租约的服务器发送DHCP Request包要求更新现有的地址租约

DHCP服务

1. 为大量客户机自动分配地址，提供集中管理
2. 减轻管理和维护成本、提高网络配置效率

可分配的地址信息主要包括

1. 网卡的IP地址、子网掩码
2. 对应的网络地址、广播地址
3. 默认网关地址
4. DNS服务器地址

DHCP安装和配置

实验目的

在单位时，运用DHCP协议设置地址池，让公司员工的主机都能自动识别，并且分发范围内的IP地址

实验环境:

3台机器
centos 7-1 DHCP 服务端 192.168.65.2(为了实验方便，将此IP定义为该网段的网关)
centos 7-2 DHCP 客户端 自动分配
windows 10 DHCP 客户端 自动分配

网络环境:

① Vmnet2(仅主机模式)

② vmware workstation 的虚拟网络编辑器中的DHCP功能必须关闭

③ 确定好Vmnet2 仅主机模式的IP地址段是多少4 注意 DHCP服务端的网卡信息的配置(GATEWAY 不要写)

系统环境:

① 先安装好DHCP服务，再行修改网络配置(nat-》Vmnet2)

② 或者，修改完网络配置后，配置本地YUM仓库，再行安装DHCP

③ 每台机器，关闭防火墙、核心防护

具体操作

1.将三台虚拟机网络连为vmnat2centos 7服务端配置
2.centos服务端配置ens33vim /etc/sysconfig/network-scripts/ifcfg-ens33
dhcp改为static
onboot改为yes
添加ipaddr=192.168.65.2和netmask重启网络
systemctl restart network查看网络信息
ifconfig ens333.配置yum源此处略4.关闭防火墙、核心保护systemctl stop firewalld
setenforce 05.编辑 dchp全局配置文件，设置好对应的网络池
检查并且安装dhcp有关软件包
rpm -qc dhcp
yum install -y dhcpcd /usr/share/doc/dhcp-4.2.5/
less dhcpd.conf.example
cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf
vim /etc/dhcp/dhcpd.confsubnet 192.168.233.0 netmask 255.255.255.0{range 192.168.233.30  192.168.233.50；option routers 192.168.233.2；
}6.重启网卡，启用dhcp服务
systemctl restart network
systemctl restart dhcpd
systemctl status dhcpdcentos 7客户端配置
7.centos客户端配置ens33vim /etc/sysconfig/network-scripts/ifcfg-ens33
默认为dhcp
onboot改为yes8.关闭防火墙、核心保护systemctl stop firewalld
setenforce 09.刷新网卡，通过DHCP获取IP
systemctl restart network
ifconfig ens3310.查看租约
less /var/lib/dhcpd/dhcpd.lease 11.windows 10 客户端（win10已激活）
关闭防火墙12.ipv4改为自动获得IP地址和DNS服务器13.禁用网络再启动14.进入cmd，查询网络
ipconfig

实操

注意

1. 取消勾选使用dhcp
2. 记住子网IP

一、将三台虚拟机网络连为vmnat2

二、配置ens33

vim /etc/sysconfig/network-scripts/ifcfg-ens33

三、重启网络

四、查看网络信息

ifconfig ens33

五、配置yum源

之前已做好-略

六、关闭防火墙、核心防护

之前已做好-略

七、安装dhcp有关软件包

yum install -y dhcp

八、编辑 dchp全局配置文件，设置好对应的网络池

九、重启网卡，启用dhcp服务

systemctl restart network
systemctl restart dhcpd
systemctl status dhcpd

十、centos客户端配置ens33

vim /etc/sysconfig/network-scripts/ifcfg-ens33

十一、关闭防火墙、核心防护

之前已做好-略

十二、刷新网卡，通过DHCP获取IP

systemctl restart network
ifconfig ens33

十三、win 10 客户端关闭防火墙

十四、ipv4改为自动获得IP地址和DNS服务器

十五、禁用网络再启动

十六、进入cmd，查询网络

ipconfig

十七、完成

FTP

FTP服务器默认使用TCP协议的20、21端口与客户端进行通信

• 20端口用于建立数据连接，并传输文件数据
• 21端口用于建立控制连接，并传输FTP控制命令

ftp的数据连接模式

1. 主动模式:服务器主动发起数据连接
2. 被动模式:服务器被动等待数据连接

• 主动模式(Active Mode):在主动模式下，FTP客户端首先与FTP服务器的默认端口(通常是端口21)建立控制连接当需要进行数据传输时，客户端会随机选择一个未使用的端口(通常是大于1024的端口)作为源端口，然后告知服务器使用该端口进行数据连接。服务器通过控制连接将数据连接请求发送到客户端的指定端口建立数据连接并进行数据传输。
• 被动模式(Passive Mode):在被动模式下，FTP客户端首先与FTP服务器的默认端口(通常是端口21)建立控制连接当需要进行数据传输时，服务器会随机选择一个未使用的端口(通常是大于1024的端口)作为源端口，并将该端口告知客户端。客户端通过控制连接向服务器指定的端口发起数据连接，建立数据连接并进行数据传输

主动模式和被动模式在数据连接的建立方式上有所区别，主要涉及客户端和服务器之间数据连接的建立和传输。在网络环境复杂或存在防火墙的情况下，被动模式通常更容易穿越防火墙，因此在实际应用中被广泛使用。

passive 开启被动模式

prompt 开启主动模式

vsftpd的安装和配置

实验环境:

2台机器
centos 7-1 上面做的DHCP 服务端可以继续使用
windows 10 上面做的DHCP 客户端 取消自动分配，自定义IP地址 禁用网络再启动

1.vsftpd安装
rpm -qc vsftpd    //检查vsftpd安装包是否存在，存在即不需要安装
yum install -y vsftpd   //yum 安装vsftpd2.备份vsftpd的配置文件
cd /etc/vsftpd
ls                //切换到安装好vsftpd目录下查看文件
cp vsftpd.conf vsftpd.conf.bak   //将vsftpd的配置文件进行备份3.vsftpd初始化全局配置
vim /etc/vsftpd/vsftpd.conf# 默认
anonymous_enable=YES            #开启匿名用户访问。默认已开启
local_enable=YES                #允许系统用户进行访问(useradd zhangsan)
write_enable=YES                #开放服务器的写权限（若要上传，必须开启）。默认已开启
anon_umask=022                  #设置匿名用户所上传数据的权限掩码（反掩码）。4.让匿名用户拥有访问本机和各种权限 
anon_umask=022                  #设置匿名用户所上传数据的权限掩码（反掩码）。
anon_upload_enable=YES          #允许匿名用户上传文件。默认已注释，需取消注释
anon_mkdir_write_enable=YES     #允许匿名用户创建（上传）目录。默认已注释，需取消注释
anon_other_write_enable=YES     #允许删除、重命名、覆盖等操作。需添加5.重启vsftpd服务，关闭安全防护
systemctl restart vsftpd
systemctl stop firewalld
setenforce 06.给匿名用户的默认根目录权限，做测试文件
chmod 777 /var/ftp/pub/  这是匿名用户的默认根目录
echo 'hello world!' > test.txt匿名访问测试
7.在Windows系统打开开始菜单，输入cmd 命令打开命令提示符8.建立ftp连接
ftp 192.168.52.2
#匿名访问，用户名为ftp，密码为空，直接回车即可完成登录9.测试
ftp> pwd          #匿名访问ftp的根目录为Linux系统的/var/ftp/目录
ftp> ls           #查看当前目录
ftp> cd pub       #切换到pub目录ftp> get文件名    #下载文件到当前Windows本地目录
ftp> ls
ftp> get test.txt #获取目录中的文件下载到电脑
ftp> ls
ftp> put test4.txt
存在的缺点：匿名用户权限过高，存在安全隐患设置本地用户验证访问ftp
设置本地用户可以访问ftp，禁止匿名用户登录
10.创建用户，免交互设置密码
useradd zhangsan
echo '123' | passwd --stdin zhangsan
useradd lisi
echo '123' | passwd --stdin lisi11.配置本地用户验证访问ftp限制
vim /etc/vsftpd/vsftpd.conflocal_enable=Yes        		 #启用本地用户
anonymous_enable=NO     		 #关闭匿名用户访问
write_enable=YES        		 #开放服务器的写权限（若要上传，必须开启）
local_umask=077          		 #可设置仅宿主用户拥有被上传的文件的权限（反掩码）12.在Windows系统打开开始菜单，输入cmd 命令打开命令提示符
ftp 192.168.52.2
zhangsan
123
OK对本地用户访问切换目录进行限制
13.添加、切换目录的限制配置 ：
vim /etc/vsftpd/vsftpd.confchroot_local_user=YES   		        #将访问禁锢在用户的宿主目录中 取消注释即可
allow_writeable_chroot=YES		 #允许被限制的用户主目录具有写权限14.重启ftp服务
systemctl restart vsftpd15.在Windows系统打开开始菜单，输入cmd 命令打开命令提示符
ftp 192.168.52.2
zhangsan
123
OK16.测试
ftp> cd /etc
550 Failed to change directory.17.修改匿名用户、本地用户登录的默认根目录
vim /etc/vsftpd/vsftpd.confanon_root=/var/www/html			#anon_root 针对匿名用户
local_root=/var/www/html		#local_root 针对本地用户18.重启ftp服务
systemctl restart vsftpd黑名单和白名单的使用 
在安装vsftpd服务后，官方贴心的为我们在服务目录中提供了user_list   
(其中就是为了我们更好利用黑名单和白名单的手册)。黑名单：在黑名单上标记的用户，是我们禁止访问的对象。
白名单：在白名单上标记的用户是我们允许访问的对象，白名单比黑名单的制定更为严格和安全。17.配置黑名单/白名单
vim /etc/vsftpd/vsftpd.conf黑名单
userlist_enable=YES				#启用user_list用户列表文件
userlist_deny=YES				#默认为YES，为黑名单，禁止user_list名单上的用户进行访问白名单
userlist_enable=YES				#启用user_list用户列表文件
userlist_deny=NO				#设置白名单，仅允许user_list用户列表文件的用户访问。#要想使用root用户，需要把ftpusers里面的root用户注销掉即可18.测试
ftp 192.168.52.2
zhangsan
530 Permission denied.
登录失败。
ftp> quit
221 Goodbye.ftp 192.168.52.2
lisi
331 Please specify the password.
密码:
230 Login successful.
ftp>张三不能输入密码19.可以在windows输入文件同步
ftp://lisi@192.168.52.2	 #在资源管理器输入
lisi
123

实操

注意

windows 10 取消自动分配，自定义IP地址，禁用网络再启动

一、vsftpd安装

yum install -y vsftpd

二、备份vsftpd的配置文件

cd /etc/vsftpd

ls

cp vsftpd.conf vsftpd.conf.bak

三、vsftpd初始化全局配置

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_umask=022

四、让匿名用户拥有访问本机和各种权限

anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

五、重启vsftpd服务，关闭安全防护

systemctl restart vsftpd
防火墙/核心防护已关-略

六、给匿名用户的默认根目录权限，做测试文件

chmod 777 /var/ftp/pub/
echo ‘hello world!’ > test.txt

七、在Windows系统打开开始菜单，输入cmd 命令打开命令提示符，连接ftp 192.168.52.2

ftp 192.168.52.2

匿名访问，用户名为ftp，密码为空，直接回车

八、测试

ftp> pwd
ftp> ls
ftp> cd pub
ftp> ls
ftp> get test.txt
ftp> ls
ftp> put test4.txt

九、创建用户，免交互设置密码

useradd zhangsan
echo ‘123’ | passwd --stdin zhangsan
useradd lisi
echo ‘123’ | passwd --stdin lisi

十、配置本地用户验证访问ftp限制

vim /etc/vsftpd/vsftpd.conf

local_enable=Yes
anonymous_enable=NO
write_enable=YES
local_umask=077

十一、在Windows系统打开开始菜单，输入cmd 命令打开命令提示符

ftp 192.168.52.2
zhangsan
123
OK

十二、添加、切换目录的限制配置 ：

vim /etc/vsftpd/vsftpd.conf

chroot_local_user=YES
allow_writeable_chroot=YES

十三、重启ftp服务

systemctl restart vsftpd

十四、在Windows系统打开开始菜单，输入cmd 命令打开命令提示符

ftp 192.168.52.2
zhangsan
123
OK

ftp> cd /etc

550 Failed to change directory.

十五、配置黑名单/白名单

黑名单

vim /etc/vsftpd/vsftpd.conf

userlist_enable=YES
userlist_deny=YES

ls

vim user_list

zhangsan

systemctl restart vsftpd

测试

win10

ftp 192.168.52.2
zhangsan

白名单

vim /etc/vsftpd/vsftpd.conf

userlist_enable=YES
userlist_deny=NO

systemctl restart vsftpd

测试

win10

ftp 192.168.52.2
zhangsan

十六、windows输入文件同步：

ftp://lisi@192.168.52.2
lisi
123

十七、完成