IPTABLES映射FTP端口出现问题？

syl_0735

服务器情况如下：
1）A机器IP地址：218.108.23.52－－－－－－－－》对外提供访问的IP
2）B机器IP地址：10.252.0.50－－－－－－－－－》内部真实的ftp服务器地址，ftp服务器软件用的 proftp

A机器对外提供21号端口，并通过nat映射到B机器上。下面是A机器上的iptables语句：
# Generated by iptables-save v1.2.11 on Wed Nov  7 17:41:20 2007
*filter
:INPUT ACCEPT [65595:34165759]
:FORWARD ACCEPT [179914:97541584]
:OUTPUT ACCEPT [1843:154216]
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT COMMIT
# Completed on Wed Nov  7 17:41:20 2007
# Generated by iptables-save v1.2.11 on Wed Nov  7 17:41:20 2007
*nat
REROUTING ACCEPT [967:53787]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1431:100410]
-A PREROUTING -d 218.108.23.52 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j DNAT --to-destination 10.252.0.50:21
-A POSTROUTING -d 10.252.0.50 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j SNAT --to-source 218.108.23.52
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Wed Nov  7 17:41:20 2007

另外A服务器已经加载了ip_nat_ftp和ip_conntrack_ftp模块，并且ip_forward已经打开转发

我连接218.108.23.52没有反映，用网际快车连接显示结果如下：
Wed Nov 07 16:50:00 2007 正在连接 218.108.23.52 [IP=218.108.23.52:21]
Wed Nov 07 16:50:00 2007 Socket已连接 ,等待欢迎信息
Wed Nov 07 16:50:20 2007 超时.
Wed Nov 07 16:50:20 2007 有错误发生!
Wed Nov 07 16:50:20 2007 等待 2秒后重试
Wed Nov 07 16:50:22 2007 正在连接 218.108.23.52 [IP=218.108.23.52:21]
Wed Nov 07 16:50:22 2007 Socket已连接 ,等待欢迎信息

我怎么解决这个问题？？

syl_0735

达人们？给一点思路也可以啊！

cx0462

只做了21的映射，20呢？

syl_0735

20端口做了也不行呢！！郁闷了！！
我不想放弃啊！

dbsrv

被动端口用不用打开？

ssffzz1

加载iptables的FTP模块。conntrack和nat各一个。

syl_0735

我已经加载模块了呀!

[root@MailServer ~]# lsmod
Module                  Size  Used by
ip_nat_ftp              4913  0
ip_conntrack_ftp       72561  1 ip_nat_ftp
ipt_MASQUERADE          3521  1
ipt_state               1857  10
iptable_filter          2753  1
iptable_nat            23045  3 ip_nat_ftp,ipt_MASQUERADE
ip_conntrack           40693  5 ip_nat_ftp,ip_conntrack_ftp,ipt_MASQUERADE,ipt_state,iptable_nat
ip_tables              16193  4 ipt_MASQUERADE,ipt_state,iptable_filter,iptable_nat
md5                     4033  1
ipv6                  232577  16
dm_mod                 54741  0
button                  6481  0
battery                 8517  0
ac                      4805  0
uhci_hcd               31449  0
e100                   39364  0
mii                     4673  1 e100
floppy                 58609  0
ext3                  116809  3
jbd                    74969  1 ext3


看看还有什么模块没有加载呢?

ssffzz1

-A PREROUTING -d 218.108.23.52 --dport 21 -j DNAT --to-destination 10.252.0.50:21
所有的规则清掉，只加这一句，记得加FTP模块。
另外FTP服务器本身的防火墙，和服务本身应该正常。

[ 本帖最后由 ssffzz1 于 2007-11-8 09:44 编辑 ]

syl_0735

哈，谢谢版主哈～～～原来这么简单哦！！不过你少说了一条哦！还要加个POSTROUTING语句的！还有"--dport"前边要加个"-p tcp"的！！再次感谢版主！

aitilang

为什么会这样呢？
是不是

-A POSTROUTING -j MASQUERADE

的问题？
这条规则是让B能够上网的。。。。。



还请ssffzz1赐教

[ 本帖最后由 aitilang 于 2007-11-8 14:49 编辑 ]