想问一下大家是如何使用iptables开放ftp的？

joecen

我有一机器，即要作ftp服务器，也要连上别的ftp服务器，并且是使用iptables作为防火墙。
iptables 的filter表的INPUT链的默认策略设为了DROP，其余的链均为ACCEPT。
一开始的时候，我是设了两条规则开放21和20端口。但发现虽可以连上FTP，不过却传不了数据，连ls都不行。
我知道ftp是使用两条连接进行传输的，一条传命令，一条传数据。但我不是21和20端口都开了吗？我再查了查资料，发现FTP的默认连接方式是passive，即被动方式。被动方式与主动方式的区别是后者使用20端口相连，前者使用1024以后的端口相连！
所以我必须开1024以后的端口。无奈，我只好加上一条规则，如下：

1. iptables -A INPUT -p tcp --sport 1024: --dport 1024: -j ACCEPT

复制代码

结果是ftp可以正常使用了。
但我想这样不是等于把所有的p2p的连接都ACCEPT了吗！
我想问问大家，平常你们是怎么做的？

joecen

顶一下。

joecen

顶！

flw

执行以下命令：

1. modpobe ip_nat_ftp
   
2. modpobe ip_conntrack
   
3. modpobe ip_conntrack_ftp

复制代码

joecen

哦，只要起了这几个模块就可以了吗？不用再作其它的设置了么？

joecen

lsmod后这3个模块已经起来了。但还是不能传输数据呀！

1. 
   
2. Module                  Size  Used by    Not tainted
   
3. ip_nat_ftp              4544   0  (unused)
   
4. ip_conntrack_ftp        5216   0  [ip_nat_ftp]
   
5. iptable_mangle          3136   0  (autoclean) (unused)
   
6. iptable_nat            22196   1  (autoclean) [ip_nat_ftp]
   
7. ip_conntrack           22924   2  (autoclean) [ip_nat_ftp ip_conntrack_ftp iptable_nat]
   
8. iptable_filter          2752   1  (autoclean)
   
9. ip_tables              14624   5  [iptable_mangle iptable_nat iptable_filter]
   
10. tun                     5024   3
    
11. autofs                 12804   0  (autoclean) (unused)
    
12. tg3                    45184   0  (unused)
    
13. eepro100               20816   1
    
14. usb-ohci               21600   0  (unused)
    
15. usbcore                77024   1  [usb-ohci]
    
16. ext3                   70752   3
    
17. jbd                    53632   3  [ext3]
    
18. aic7xxx               125440   5
    
19. sd_mod                 12896  10
    
20. scsi_mod              112272   2  [aic7xxx sd_mod]

复制代码

joecen

顶

platinum

载入那几个模块后，只要开TCP-21和允许“连接保持的被动访问”就行了
具体做法是
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

joecen

成了！感谢platinum和flw！

jeff_gu

我在cu这些论坛里经常看到iptables字样，请问，这是linux下的系统命令还是一个软件的名称，主要用途是什么，能完成些什么任务？
资质愚钝，请勿见笑。请大家不吝赐教。