IPTABLES <--> FTP集中讨论

stanlogin

经常看到有人问到这样的问题：
服务器配置了IPTABLES，首先-P DROP，然后打开了21（甚至是20）端口，客户登陆时无法显示数据。

这里我给出一个简单的IPTABLES配置方案，抛砖引玉，希望大家能自己做出详细的应用方案。

注意：FTP SERVER用的是PROFTP；客户端是CUTE-FTP！
-------------------------------------------------------------
HOWTO(in server)：
# 禁止所有对内连接
iptables -P INPUT DROP

# 打开内对内连接
iptables -A INPUT -i lo -j ACCEPT

# 打开FTP命令端口
iptalbes -A INPUT -p tcp --dport 21 -j ACCEPT

# 打开客户端的已确认连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 打开连接FTP模块
modprobe ip_conntrack_ftp
-------------------------------------------------------------
END of HOWTO

上面的规则经我测试是可以的，大家可能注意到，所谓的数据端口（20）并没有打开，我想是因为PROFTP的所有数据连接都是由服务器端主动打开的。

Glue

我的另一个建议是，
试一试passive方式，不同的ftp客户端有所不同
大多是，passive，pasv之类。
这个命令告诉服务器不要主动打开数据连接，因为客户端是在防火墙后面。

nobody_am

PASV是什么?

空心菜

被动模式