防火墙代理有问题，请指教

geniusdao

我使用的是红帽as3。0的linux，使用iptables代理上网，客户机可以上网，而且什么都好用，但是近日出现一个问题，就是上ftp的时候可以登陆上去，但是认证成功后，想浏览文件的时候总出现数据超时，这是在客户机上出现的问题，但是在我的主机上就不会出现这个问题，iptables我加的是一条snat，在以前上ftp的时候还好用，就是最近好象有问题了。大家看看有没有遇到这个问题，指教一下。

llzqq

在客户端关掉PASV模式试一下

geniusdao

这个问题我试了，我发现好象只有pasv模式好用。但是如果是port模式就不好用了。大家再想想办法

race

我遇到了跟你类似的问题，单位的对外IP换了之后，就出现FTP的问题，奇怪的是网关上做都是正常的，我也正在解决这些问题。

你的问题，可以考虑使用SUQID和iptables -t nat PREROUTING做透明代理试试，这些资料很多。

keenty

防火墙内部的主机访问外部的ftpserver,联接后,发出ls命令后,ls的结果在非passive模式下是由外部ftpserver发出到内部主机的tcp 20端口的联接,然后在这个联接上将ls的结果传回来,因为放火墙的原因,这个联接一般是被禁止的,所以超时.
采用passive模式时,外部ftpserver等待内部主机新建一个tcp联接,将ls的结果从这个联接上传回来,而这个连接,防火墙是允许的.
所以如果防火墙作了Nat,只能采用passive方式才可以.
(passive是指ftpserver采用被动方式等待客户机进行第二条tcp的联接 ,要只道ftp使用了两个tcp连接进行通讯)

geniusdao

对啊 你这个应该是正确解释，你说的我也知道，但是怎么设计iptables来可以数据连接port下的ftp站点啊。我比较关心的是解决方法，我觉得应该可以解决的。

geniusdao

[quote]原帖由 "keenty"]防火墙内部的主机访问外部的ftpserver,联接后,发出ls命令后,ls的结果在非passive模式下是由外部ftpserver发出到内部主机的tcp 20端口的联接,然后在这个联接上将ls的结果传回来,因为放火墙的原因,这个联接一般是被禁?.........[/quote 发表：

这个朋友好象把ftp的原理给弄的不清楚，外部ftpserver是开启自己的ftp-data端口也就是20端口，而内部的计算机是开启自己的一个随机而且未被占用而且是1024以下的端口。这个问题和本题无关，只是纠正错误而言。