菜鸟求帮 VSFTP的IPTABLE怎么设置

f16diy

如题，系统是fedora7 安装了vsftp后一启动iptables就无法登陆了

这是我的/etc/sysconfig/iptables文件
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

这个是我重新改过之后的iptables
# Generated by iptables-save v1.3.7 on Sun Jun 24 12:07:46 2007
*filter
:INPUT DROP [13:1001]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [289:29660]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Jun 24 12:07:46 2007

同样要开通端口ssh工作正常 ftp却被拦截了

ecco2005

20和21端口都要开放!!!而且这样做,在客户端也只能选择主动连接方式.如果选择被动联接方式,防火墙就不能开,因为被动连接会随机选择一个端口

wildfire

被动连接可以在 /etc/vsftpd/vsftpd.conf 中设置端口范围， 然后在防火墙里开放相应端口即可。

hellwolf

修改 /etc/sysconfig/iptables-config 文件
在 IPTABLES_MODULES 选现中添加：
ip_nat_ftp
模块

可以自动开放被动模式打开的数据端口。

f16diy

多谢了各位，经斑竹指点问题已经解决