|
发表于 2003-4-21 03:07:26
|
显示全部楼层
首先在网关上的IPTABLES设置,假定内网为保留地址网段,网关做NAT;网关公网IP aaa.aaa.aaa.aaa(eth0),内网界面eth1; FTP服务器IP bbb.bbb.bbb.bbb:
# iptables -A FORWARD -i eth0 -o eth1 -d aaa.aaa.aaa.aaa -p tcp --dport 20:21 -j ACCEPT
# iptables -t nat -A PREROUTING -i eth0 -d aaa.aaa.aaa.aaa -p tcp --dport 20:21 -j DNAT --to bbb.bbb.bbb.bbb:20-21
接下来加载iptables的ftp模块:
# modprobe ip_conntrack_ftp
这步很重要,如果不加载这个模块,PASSIVE FTP是不能通过网关的!
然后设置FTP服务器:
在GLOBE段加:
MasqueradeAddress "YOUR_FULL_QUALIFIED_HOST_NAME" # 换成网关IP aaa.aaa.aaa.aaa也可以
PassivePorts 60000 65534
设置完后, # proftpd -t 检查一下, 如果没有问题的话就可以重起FTP了.
=============================
如果你愿意的话,还可以在FTP服务器上设置IPTABLES,增加安全性,需要的端口是20,21,60000-65543 |
|