iptables DNAT 关于ftp数据传输端口问题

liufayong · 发表于 2006-1-7 15:08:01

最近我将公司的win2000 web服务器和ftp，通过了linux iptables做了DNAT 转发了，
其实吧web好弄直接80端口，可是ftp除了21的验证端口，还牵扯到一个数据传输端口，如果是linux本身做ftp服务器，也好办这样（iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT）就行了吧，
可是如果牵扯到转发可怎么配置呢？现在我不知道转发如何让防火墙自动开起数据端口。请高手赐教，
我用的iptables -t nat -A PREROUTING -d 218.58.58.aa（防火墙的外部ip） -p tcp --dport 21 －j ACCEPT DNAT -to-destination 192.168.0.35:21(这是2000ftp 服务器内网ip)
iptables -t nat -A POSTROUTING -s 218.58.58.aa -p tcp -j ACCEPT SNAT -to-source 192.168.0.1(这是防火墙内网ip)
至于数据端口请高手指点
[color="Red"]注：2000 ftp 服务器上也有个外网ip，我的是双线，为了避免windows里双网关，所以一个ip是内网的，通过iptalbes映射过来的

orphen · 发表于 2006-1-8 16:38:56

iptables -t nat -A PREROUTING -d 218.58.58.aa -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j DNAT -to 192.168.0.35

dancingpig · 发表于 2006-1-8 20:27:01

被动还是主动

liufayong · 发表于 2006-1-9 08:07:48

iis的ftp是主动还是被动不是客户端决定吗？我试着在PREROUTING 里添加了20和1024端口的转发，但还是不行。主动的数据端口不是20吗，被动一般1024－5000

dancingpig · 发表于 2006-1-9 09:37:57

你44 #insmod ip_conntrack_ftp
别改ftp的端口

liufayong · 发表于 2006-1-9 22:59:44

谢谢了主要问题就是没有吧ip_nat_ftp和ip_conntrack_ftp
现在搞定了基本上,我另外问一句,如果我把filter表FORWARD 变成drop,是不是还得添加什么规则才能,正常转发我ftp 和web

		自动登录	找回密码
密码			注册