iptables开了20和21端口，但ftp只可连接，不能显示文件出来

filwy

今天遇到了这个问题，以前一直都没有注意的。
iptables开了20和21端口，但ftp只可连接，不能显示文件出来。
如果停了iptables就可以。
希望大家给点建议，并说明一下情况。万分感激！！

rcazy

iptable -l 后发相关设置上来看看

sulin515

FTP的CONF里的设置.也一起来...

anthonyfeng

会不会是主动FTP与被动FTP的关系

filwy

以下是iptables -L的

1. 
   
2. root@file sysconfig]# iptables -L
   
3. Chain INPUT (policy ACCEPT)
   
4. target     prot opt source               destination         
   
5. ACCEPT     all  --  file                 file               
   
6. ACCEPT     all  --  212.21.89.72         anywhere           
   
7. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http
   
8. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:8000
   
9. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp-data
   
10. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp
    
11. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ssh
    
12. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:rtsp
    
13. ACCEPT     all  --  61.155.21.32/27     anywhere           
    
14. ACCEPT     all  --  192.168.156.0/24     anywhere           
    
15. ACCEPT     icmp --  anywhere             anywhere           
    
16. ACCEPT     all  --  anywhere             anywhere           state ESTABLISHED
    
17. DROP       all  --  anywhere             anywhere           
    
18. 
    
19. Chain FORWARD (policy ACCEPT)
    
20. target     prot opt source               destination         
    
21. 
    
22. Chain OUTPUT (policy ACCEPT)
    
23. target     prot opt source               destination   
    

复制代码

proftpd.conf配置以下

1. 
   
2. # This is a basic ProFTPD configuration file (rename it to
   
3. # 'proftpd.conf' for actual use.  It establishes a single server
   
4. # and a single anonymous login.  It assumes that you have a user/group
   
5. # "nobody" and "ftp" for normal operation and anon.
   
6. 
   
7. ServerName                      "ProFTPD Default Installation"
   
8. ServerType                      standalone
   
9. DefaultServer                   on
   
10. 
    
11. # Port 21 is the standard FTP port.
    
12. Port                            21
    
13. 
    
14. # Umask 022 is a good standard umask to prevent new dirs and files
    
15. # from being group and world writable.
    
16. Umask                           022
    
17. RequireValidShell               off
    
18. 
    
19. # To prevent DoS attacks, set the maximum number of child processes
    
20. # to 30.  If you need to allow more than 30 concurrent connections
    
21. # at once, simply increase this value.  Note that this ONLY works
    
22. # in standalone mode, in inetd mode you should use an inetd server
    
23. # that allows you to limit maximum number of processes per service
    
24. # (such as xinetd).
    
25. MaxInstances            60
    
26. TimeoutSession          0
    
27. TimeoutLogin            0
    
28. AllowStoreRestart on
    
29. 
    
30. # Set the user and group under which the server will run.
    
31. User                            nobody
    
32. Group                           nobody
    
33. 
    
34. # To cause every FTP user to be "jailed" (chrooted) into their home
    
35. # directory, uncomment this line.
    
36. #DefaultRoot ~
    
37. 
    
38. # Normally, we want files to be overwriteable.
    
39. <Directory />
    
40.   AllowOverwrite                on
    
41.   #RateReadBPS                  50000
    
42. </Directory>
    
43. 
    
44. # A basic anonymous configuration, no upload directories.  If you do not
    
45. # want anonymous users, simply delete this entire <Anonymous> section.
    
46. 
    
47. <Anonymous /var/upload>
    
48.   User                          ftpuser
    
49.   Group                         ftpuser
    
50.   AnonRequirePassword           on  
    
51. 
    
52.   # Limit the maximum number of anonymous logins
    
53.   MaxClients                    200
    
54.   #MaxClientsPerHost             2
    
55. 
    
56.   # We want 'welcome.msg' displayed at login, and '.message' displayed
    
57.   # in each newly chdired directory.
    
58.   DisplayLogin                  welcome.msg
    
59.   DisplayFirstChdir             .message
    
60.   AllowStoreRestart on
    
61.   AllowOverwrite    on
    
62. 
    
63. 
    
64. <Directory /var/download>
    
65.   # Limit WRITE everywhere in the anonymous chroot
    
66.     <Limit STOR MKD RMD DELE APPE RNFR RNTO>
    
67.       AllowAll
    
68.       IgnoreHidden                      on
    
69.     </Limit>
    
70. </Directory>
    
71. 
    
72. </Anonymous>
    
73. 
    

复制代码

9011

ftp中传数据的通道是通过协商得来的，
在主动方式下，服务器的20端口会向客户端的一个协商的端口建立连接。（有的服务器并不用20端口）
在被动方式下，客户端会向服务器的一个协商的端口建立连接。

platinum

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

filwy

原帖由 platinum 于 2005-12-7 15:29 发表
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

谢谢您，斑竹大哥
还是不可以的，其实之前我也用了ip_conntrack_ftp这个命令。
就是没有用modprobe ip_nat_ftp。
现在两个都用了也不行。

llzqq

用的什么方式连接的？，主动，还是被动模式

filwy

原帖由 llzqq 于 2005-12-7 18:19 发表
用的什么方式连接的？，主动，还是被动模式

直接在IE输入ftp的url或者用ftp软件登陆用主动或被动都不可以。用ftp软件显示login成功，就不能显示文件。若停了iptables就可以的。