论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-04-07 16:19 |只看该作者 |倒序浏览

最近在看连接跟踪，很多地方不是很理解。
我先说说我的网络情况：使用一个双网卡的机器装fedora2，然后配置成网桥模式，一个网卡连接一个终端，另一个连接因特网。

我把iptables清空（iptables -F），然后上网，或者FTP，这时在/proc/net/ip_conntrack下可以看到连接的状态。

然后在linux上配置命令如下：
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptable -A FORWARD -j DROP
这时，FTP只能登录，但是ftp-data(20端口)不能传输数据。
然后再使用上面的命令对20端口进行相同的操作，这时ftp就可以使用了。

这里我有几个问题：
1，我把iptables清空时，在ip_conntrack中也可以看到连接跟踪的情况，这是不是说ip_conntrack的功能系统默认启动了？
2，关于ip_conntrack_ftp模块的问题，我不知道这个模块的用途是什么，因为不管加不加这个模块，目前在我试验的接过来看，照样得用上面的配置命令。或者说在加载ip_conntrack_ftp后，iptables配置命令是否有变化，
3，另外，就是RELATED状态，这个不在ip_conntrack文件中出现吧，我怎么没有看到过呢？

刚开始学iptables，还请各位指点。

sxh77

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2006-04-10 11:09 |只看该作者

回复 1楼 sxh77 的帖子

呵呵，还是烦请高手指点一二，特别是第2个问题，多谢。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

3楼 [报告]

发表于 2006-04-10 11:22 |只看该作者

原帖由 sxh77 于 2006-4-7 16:19 发表
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

条件越复杂，匹配内容越少，匹配范围越窄
iptables -A FORWARD -p tcp --dport -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT