由 stanlogin 在 08-02-2003 16:40 发表:

**IPTABLES <--> FTP集中讨论 **

经常看到有人问到这样的问题：

服务器配置了IPTABLES，首先-P DROP，然后打开了21（甚至是20）端口，客户登陆时无法显示数据。

这里我给出一个简单的IPTABLES配置方案，抛砖引玉，希望大家能自己做出详细的应用方案。

注意：FTP SERVER用的是PROFTP；客户端是CUTE-FTP！

-------------------------------------------------------------

HOWTO(in server)：

禁止所有对内连接

iptables -P INPUT DROP

打开内对内连接

iptables -A INPUT -i lo -j ACCEPT

打开FTP命令端口

iptalbes -A INPUT -p tcp --dport 21 -j ACCEPT

打开客户端的已确认连接

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

打开连接FTP模块

modprobe ip_conntrack_ftp

-------------------------------------------------------------

END of HOWTO

上面的规则经我测试是可以的，大家可能注意到，所谓的数据端口（20）并没有打开，我想是因为PROFTP的所有数据连接都是由服务器端主动打开的。

_____>小刀

由 Glue 在 08-02-2003 16:55 发表:

强！

我的另一个建议是，

试一试passive方式，不同的ftp客户端有所不同

大多是，passive，pasv之类。

这个命令告诉服务器不要主动打开数据连接，因为客户端是在防火墙后面。

<font face="