iptables开了20和21端口，但ftp只可连接，不能显示文件出来

YuQiLam

理论是让人郁闷的事

platinum

原帖由 枫影谁用了 于 2005-12-9 13:28 发表



如果你愿意试！我可以给你ftp服务器！
你可以试看可否联接成功。
当然我的ftp不是vsftp。

我可以坦白的告诉你，不是用什么 ftp 做 server 的问题，是 server 端和 client 端的防火墙的问题
正如 bingosek 所说，ftp 协议是不认什么 server type 的，他总是用 TCP/21 去连，然后根据客户端的设置来决定用主动模式还是被动模式

大概一年以前，我的理解和你现在是一样的，通过仔细阅读 RFC 文档，然后用抓包工具分析连接过程，同时修改 server 和 client 的防火墙，经过反复试验，发现确实是防火墙设置的问题

[ 本帖最后由 platinum 于 2005-12-11 10:10 编辑 ]

passatbt

是不是默认的FTP文件夹不对？

attiseve

不是列不出目录来，也不是防火墙的问题，而是在proftpd.conf中需要加入两条命令：
IdentLookups                    off
UseReverseDNS                   off
默认大概是要查询DNS的，查询过程需要很长的等待时间（尤其是查询不到的时候）。加上上面两句就行。

ilovecr

#modprobe ipt_nat_ftp
  or  insmod ipt_nat_ftp

陈非非飞

数据端口没有打开：在主动模式时，数据端口用20，此时由FTP服务器打开客户的20端口，但客户的20端口可能为客户防火墙封掉了；在被动模式时，服务器数据端口由客户与服务器协商打开，它们的端口号一般是>＝1024，但此时服务器上的防火墙可能不允许客户开启端口。以下是常用脚本片段：
#open passive mode FTP !
iptables -A INPUT -p tcp  --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

#open active mode FTP !
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

:em11:

filwy

原帖由 陈非非飞 于 2005-12-14 16:32 发表
数据端口没有打开：在主动模式时，数据端口用20，此时由FTP服务器打开客户的20端口，但客户的20端口可能为客户防火墙封掉了；在被动模式时，服务器数据端口由客户与服务器协商打开，它们的端口号一般是>＝1024 ...

是这样的问题引起的，现已经解决了。。
谢谢各位！！！！！！！！！1

platinum

那不是最终的解决之道，我早在第 7 楼的时候就已经告诉你答案了

david2878

ftp控制连接使用的是21号端口，但数据传输却不使用这个端口，所以如果你只开放21，20端口，可以登录ftp服务器。但是数据传不会来，如果被动你还要允许任意的端口连接到你本地任意端口，如果是主动的话就必须目的20端口连接到本地任意端口。否则数据将无法传输，所以你能等录，但是不能显示数据。

linuxpiao

先頂一下.