麻烦白金版主帮忙看下，iptables中RELATED的问题。

amaniwq

关于iptables对ftp限制的问题，对RELATED的理解不是很透彻

1.让我的机器作为客户端，可以访问别的ftp服务器
主动模式下：
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT

被动模式：
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
（关键就是底下， 不知道就这一句对不对）
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

2.让我的机器作为服务器，可以让别的机器访问。
主动模式：
iptables -A INPUT -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -m state --state NEW,ESTABLISHED -j ACCEPT

被动模式：
iptables -A INPUT -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
（还是这一句，不知道可不可以）
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
（是不是用了RELATED就可以让被动模式下开的1024以上的端口被关联，就可以进行数据传输了）

顺便想问下，关于那个RELATED的问题，是不是加了这个，我就可以把数据流用到的端口和控制端口相关联，就不用再专门开端口用来传输数据，如果是这样的话，那么以上两个主动模式是不是都可以把后两句改为如下一句：
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
就是说以上所有的数据传输都可以用这一条打开。

[ 本帖最后由 amaniwq 于 2006-3-27 19:55 编辑 ]

platinum

首先，在不到万不得已的情况下，没必要对 OUTPUT 链做限制
其次，RELATED 状态是结合 ip_conntrack 使用的，上面提到了 FTP，也就是 ip_conntrack_ftp
若载入了 ip_conntrack_ftp 模块，就完全可以把 FTP 只当作跑在 TCP/21 上了，其他不用考虑

andijo

嗯，加载了ip_conntrack_ftp 模块，好像就可以穿透linux防火墙不用在客户端使用被动模式了

amaniwq

原帖由 platinum 于 2006-3-27 21:06 发表
首先，在不到万不得已的情况下，没必要对 OUTPUT 链做限制
其次，RELATED 状态是结合 ip_conntrack 使用的，上面提到了 FTP，也就是 ip_conntrack_ftp
若载入了 ip_conntrack_ftp 模块，就完全可以把 FTP 只当作 ...

要载入ip_conntrack_ftp等相关的模块我知道，那么，照你的意思是，只要这个模块载入了，如果作为ftp服务器，下面这条规则
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
是不是就可以让被动连接开的用于传输数据的端口顺利的出去，用不用在加上一句：
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

platinum

> 要载入ip_conntrack_ftp等相关的模块我知道，那么，照你的意思是，只要这个模块载入了，如果作为ftp服务器，下面这条规则
> iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
前面说了，若没有必要，不要限制 OUTPUT 链

> 是不是就可以让被动连接开的用于传输数据的端口顺利的出去，用不用在加上一句：
> iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
RELATED 是根据 ip_conntrack 跟踪出来的“衍生态”，不知道能否理解我的意思，我实在想不出更好的解释了

amaniwq

原帖由 platinum 于 2006-3-28 09:39 发表
> 要载入ip_conntrack_ftp等相关的模块我知道，那么，照你的意思是，只要这个模块载入了，如果作为ftp服务器，下面这条规则
> iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ...

多谢版主了，如果没理解错了话，应该是只要是控制连接衍生出来的都可以跟踪，不能是进还是出的流。
那么照你说的“若没有必要，不要限制 OUTPUT 链”，是不是用这样一句更合适：
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
既没有限制OUTPUT，而且又可以跟踪连接。

没办法啊，找的好多资料在这一块说的都不是很多。:wink:

platinum

上面的用法对了
1、载入 ip_conntrack_ftp 或 ip_nat_ftp（根据你的需要）
2、允许 TCP/21 进入（如果做服务器）
3、允许 RELATED,ESTABLISHED 状态的包通过
就可以了

amaniwq

原帖由 platinum 于 2006-3-28 17:14 发表
上面的用法对了
1、载入 ip_conntrack_ftp 或 ip_nat_ftp（根据你的需要）
2、允许 TCP/21 进入（如果做服务器）
3、允许 RELATED,ESTABLISHED 状态的包通过
就可以了

多谢版主了！

sxh77

通常本机的服务用INPUT和OUTPUT链，我使用网桥形式，则可以使用FORWARD链。
使用下面命令：
iptables -A FORWARD -p tcp --sport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW.ESTABLISHED,RELATED -j ACCEPT
iptables －A FORWRAD -j DROP
这样的结果可以使得ftp登录（21端口），但是20端口还是不可以,bixu必须手动再加上使得端口20通过的命令，这点我就不太理解了，不是说加载了ip_conntrack_ftp，只要让21通过就可以了吗？

hmqq

加上iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT