iptables 的问题,

冷雪 · 发表于 2005-4-28 10:58:28

RH9

系统做代理服务器，VSFTP服务器,

在没有运行iptables 时，客户端可以访问FTP服务器，运行后，FTP服务器可以登录，无法列出服务器上文件列表。

脚本如下：
#!/bin/sh
echo " enable ip forward...."
echo 1 >/proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp

iptables -F
iptables -t nat -F
echo " disable enter lan..."

iptables -P INPUT DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -P tcp --dport 20 -j ACCEPT
iptables -A INPUT -p udp --dport 21 -j ACCEPT
iptables -A INPUT -p udp --dport 20 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -P FORWARD DROP

iptables -A FORWARD -s 192.168.0.0/24 -p tcp -d 0/0 -i eth0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

问题出在哪了？

有高手在吗？

troll · 发表于 2005-4-28 11:03:21

你这样只能让用户使用port模式，而客户如果有防火墙限制，那port模式就不行了。要使用passive模式，你要开放1024以上的非特权端口。

冷雪 · 发表于 2005-4-28 11:34:40

具体怎么设呢？请指教！

szkingrose · 发表于 2005-4-28 11:35:23

/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

冷雪 · 发表于 2005-4-28 11:39:28

这是我的QQ： 9374109

希望可以相互学习

szkingrose · 发表于 2005-4-28 11:40:18

加载我写的四条应该就可以了。

冷雪 · 发表于 2005-4-28 11:50:42

好！先试试

冷雪 · 发表于 2005-4-28 14:13:47

我加载过了，还是不能用，还要加些什么东东呀？troll 兄，过来看看吧，指点指点！

szkingrose · 发表于 2005-4-28 14:17:19

不可能啊．我都可以用啊．

原来也是不能列目录，后来加了就好了． :ask

troll · 发表于 2005-4-28 14:45:59

我没有经验的，你试试吧

iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

前提是p_conntrack和ip_conntrack_ftp模块要加载。

		自动登录	找回密码
密码			注册