ipfw和ftp发生的关系了，快帮我看看

aport

#ipfw show结果
00100 1414 1461964 allow ip from any to any via lo0
00500    0       0 check-state
00600    0       0 allow tcp from me to 202.102.152.3 out via em0 setup keep-state
00610    0       0 allow udp from me to 202.102.152.3 out via em0 keep-state
00700    0       0 allow tcp from me to any out via em0 setup keep-state
00800    0       0 allow icmp from me to any out via em0 keep-state
00900  649   66944 allow tcp from any to me dst-port 37 in via em0 setup keep-state
01000   81    5265 allow tcp from any to me dst-port 21 in via em0 setup limit src-addr 8
01100 1072  752075 allow tcp from any to me dst-port 80 in via em0 setup limit src-addr 8
03000   20     800 deny ip from any to me
65535   21     984 allow ip from any to any

ftp是pureftp，连接很快，停在打开数据端口上；等一会也能打开随机的数据端口，这时候查deny也有多的值了。
ipfw flush后，一切正常

lsstarboy

很好很经典。

1、模式有问题。还是加个20算事，用被动模式。

2、最好别用keep-state，会死的。

aport

原帖由 lsstarboy 于 2008-4-14 16:00 发表
很好很经典。

1、模式有问题。还是加个20算事，用被动模式。

2、最好别用keep-state，会死的。

开20是主动模式吧，那样如果客户端有防火墙就有麻烦。
keep-state有安全问题吗？

lsstarboy

原帖由 aport 于 2008-4-14 16:27 发表

开20是主动模式吧，那样如果客户端有防火墙就有麻烦。
keep-state有安全问题吗？

是，你是正确的。
keep-state会导致你的网卡死掉。服务器一般不要keep-state，很小的流量就可以把state表填满。

如果不能开20，还要打开你的ftp的随机端口，没用过pureftp，应该是配置文件里面设置的那个端口段。比如5000-6000之类。

剑心通明

原帖由 harbinbeer 于 2008-4-14 23:50 发表


http和ftp可以不用keep-state么？

同问

lsstarboy

原帖由 harbinbeer 于 2008-4-14 23:50 发表


http和ftp可以不用keep-state么？

为什么要用keep-state？

好象只有一个好处，就是规则简单，而带来最大的坏处：如果连接数稍微多一些，state rules可能就要满。

aport

问题还没解决，帖子如坠深渊