iptables入门教程--设置静态防火墙（ step by step）

cisco2005

打到问题啦,因为我的FTP方式是PASV方式,所以需要根据FTP设置打开一些端口就OK了.像我这边的客户端总是连接FTP SERVER的30000-40000之间的端口,所以加一条: iptables -A INPUT -p tcp --dport 30000:40000 -j ACCEPT 规则就OK了. 当然,更好的方法是先在FTP中设置好允许客户端进行数据传输的PASV端口范围(MAX-MIN),再根据FTP规则设置iptables规则.
完全是个人意见,供大家交流.

liweioop

回复：cisco2005

只用了几个小时就把问题解决了，你也算得上是高手了。

如果按照我的方法做，确实会出现你所描述的问题。ftp能够连接上，但是不能ls和传送任何数据。
解决办法1：ftp client采用port方式传输,这个办法不好，因为你不能希望用户了解计算机的这么多技术细节。
2：也就是你所说的方法,这个办法较好。

写这个教程时主要是考虑简单易懂，所以没有谈到具体细节。

hanmm0914

不错呀！
希望继续深入！
但是我对脚本这块还有很多不会！
不知道有没有什么初级的linux脚本语言书籍可供参考！？

hanzixing

顶顶~~~~

flea

今天碰到了放火墙的问题，正在找相关的文章，来的太好了，及时雨。

jackybt

正好学习一下.谢谢楼主,希望再接再厉.

heart5

bash下真正能运行的脚本（做了几处修正）
────────────────────────────────────────────

#!/bin/bash

# This is a script

# Edit by liwei

# establish a static firewall



# define const here

Open_ports="80 25 110 10" # 自己机器对外开放的端口

Allow_ports="53 80 20 21" # internet的数据可以进入自己机器的端口

# Open_ports="4662 10" # 自己机器对外开放的端口

# Allow_ports="4662 443 80 21" # internet的数据可以进入自己机器的端口


#init

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

# The follow is comment , for make it better
# iptables -P INPUT DROP

iptables -A INPUT -i ! ppp0 -j ACCEPT


# define ruler so that some data can come in.
echo "设置允许端口"

for Port in $Allow_ports ; do
iptables -A INPUT -i ppp0 -p tcp --sport $Port -j ACCEPT -v
iptables -A INPUT -i ppp0 -p udp --sport $Port -j ACCEPT -v
done

echo "设置开放端口"

for Port in $Open_ports ; do
iptables -A INPUT -i ppp0 -p tcp --dport $Port -j ACCEPT -v
iptables -A INPUT -i ppp0 -p udp --dport $Port -j ACCEPT -v
done

# This is the last ruler , it can make you firewall better
# iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset -v
# iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable -v

jeffry

楼上修改得好，
文章写得不错，
但是还是应该更加严谨点，起码那个脚本要自己运行试一试，这样可能更好。

kidrane

为什么代理服务器用redirect,而内部主机用DNAT.我看好像区别不是很大
希望大家指正

hghw1776

蛮不错的帖子