如何设置iptables，允许从内而外的连接

夕水

大哥大姐如何设置iptables，允许从内而外的连接啊
我的iptables老是把我写的自动执行教本down掉，这个脚本是在本机执行去索引ftp服务器目录的
大家看如何容许这个的向外链接的程序啊

lunchan

看看這個

http://bbs.chinaunix.net/viewthr ... &extra=page%3D1

夕水

刚看过，iptables我也懂点，但是这个还是不会写啊

夕水

ding !

lunchan

# 打開 channel 21

1. 
   
2. iptables -A OUTPUT -o eth0 -p tcp -s <IP> --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
   
3. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d <IP> --dport 1024:65535 -j ACCEPT
   

复制代码

# 打開 channel 20

1. 
   
2. iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d <IP> --dport 1024:65535 -j ACCEPT
   
3. iptables -A OUTPUT -o eth0 -p tcp ! --syn -s <IP> --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT
   

复制代码

#打開 passive mode FTP

1. 
   
2. iptables -A OUTPUT -o eth0 -p tcp -s <IP> --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
   
3. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d <IP> --dport 1024:65535 -j ACCEPT
   

复制代码

先試著,大概是這個

kenduest

其實 iptables 有 ip_conntrack_ftp module，搭配 iptables 傳入 -m state --state RELATED 設定為 ACCEPT 就可以了，不是呼 ?

==

platinum

原帖由 kenduest 于 2006-2-21 23:45 发表
其實 iptables 有 ip_conntrack_ftp module，搭配 iptables 傳入 -m state --state RELATED 設定為 ACCEPT 就可以了，不是呼 ?

==

正解，不过除了 RELATED 以外还要把 ESTABLISHED 也一起包括，否则无法通过从 Linux 出去后回流的数据包

夕水

真是奇怪，我做了上面的设置还是不行，
netstat -t看了一下连接状态
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp       47      0 ftpsearch.ydqmx.net:57773   tv.ydqmx.net:ftp            ESTABLISHED
tcp        0      0 ftpsearch.ydqmx.net:53352   202.195.48.68:ftp           ESTABLISHED
tcp        0      0 ftpsearch.ydqmx.net:40543   ftp.ydqmx.net:ftp           ESTABLISHED
应该是确定连接了啊，我想数据是回不来造成的啊，程序显示：
connect: Connection refused

我原来的iptables是这样写的：
-A output -o eth0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#也是不行的，这句话的意思难道不是让对外的tcp包通过，然后对于建立连接的包容许通过？
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
-A INPUT -p 50 -j ACCEPT
-A INPUT -p 51 -j ACCEPT
-A INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

夕水

刚已经modprobe ip_conntrack_ftp过了
使用
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
并且service iptables restart
我的程序原来在fedora 2上面用的很好，iptables不需要做其他设置
现在转移到 fedora 4上面就不行了，真郁闷，我的selinux已经disable了

夕水

好冷啊