ftp开在lan口上,想要在wan口联接,不知道为什么联不上(刚开始学习iptables,请大家指

future_god

ftp开在lan口上,想要在wan口联接,不知道为什么联不上.
lan口已经可以连接,修改端口也可以连接.
wan口就只有21端口可以连接,而其他端口不能连接.
lan ip:192.168.1.1 netmask:255.255.255.0
wan: 172.21.5.*   netmask:255.255.252.0
我是这样写的:

iptables -I INPUT_TCP -p tcp --dport 2121 -j ACCEPT     

检查进来的包,如果是到172.21.5.* port 为2121的就把包的目的地址改为192.168.1.1:2121
iptables -t nat -A PREROUTING -p tcp -d 172.21.5.* --dport 2121 -j DNAT  --to 192.168.1.1:2121

检查转发的包,如果是到192.168.1.1:2121则将其源地址改为whichip
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.1 --dport 2121 -j SNAT --to whichip
这个whichip我就不会了, 而且这样写是否可行, 请大家指教. 万分感谢!!

future_god

能过抓包发现ftp命令端口是可以正常工作的,但是命令端口交互完毕后,ftp与wan口进来的客户端进行数据交互的时候,ftp的数据传输端口不能把数据传送给客户端.

future_god

查到在内网建立ftp需要加载 ip_conntrack_ftp,ip_nat_ftp,ip_conntrack
等模块. 我查看了一下内核编译的.config文件,发现
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_NAT_SNMP_BASIC=y
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
...............................................

都已经编译进内核了,为什么还不行呢?难道一定要编译成模块?
:help

future_god

曾经看到过这样一段话:
      如果没有人回答你的问题,那么就是你的问题有问题.
呵呵,看来是我的问的问题有问题哦,呵呵