FTP端口映射问题

easyadmi

FTP端口映射问题

            我在内网 架设 一个FTP服务器   

          我的网络是  ：


         局域网192.168.253.0/24，

         ftp服务器192.168.253.204

               网关linux，内网eth0，IP为192.168.253.1，外网eth1，IP为a.b.c.d，

         怎样作NAT能使内外网都能访问公司的服务器？


        我在iptables 加了

           iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to-destination 192.168.253.204

            很不好使   


           麻烦 给个可行得通的 映射方法

unixnovice

你的问题是是你没有将PASV的端口打开　。
这样的话，外网的命令是可以在服务器上执行，但是数据却不能传输的。
在这里假设你的PASV　端口是　3000-4000，加入下面的应该有可以了

1. 
   
2. iptables -t nat -I PREROUTING -i eth1 -p tcp --dport　3000:4000　\
   
3. -j DNAT --to-destination 192.168.253.204
   
4. 
   

复制代码

内网的话设置如下：

1. 
   
2. iptables -t filter -A INPUT -i eth0 -p tcp -dport 21 -j ALLOW;
   
3. iptables -t filter -A OUTPUT -i eth0 -p tcp -sport 21 !--syn -j ALLOW;
   

复制代码

对于PORT　MODE

1. 
   
2. iptables -t filter -A INPUT -i eth0 -p tcp -dport 20  !-- syn -j ALLOW;
   
3. iptables -t filter -A OUTPUT -i eth0 -p tcp -sport 20  -j ALLOW;
   

复制代码

对于PASV　pasv_ports =3000:4000

1. 
   
2. iptables -t filter -A INPUT -i eth0 -p tcp -dport $pasv_ports -j ALLOW;
   
3. iptables -t filter -A OUTPUT -i eth0 -p tcp -sport $pasv_ports !--syn  -j ALLOW;
   

复制代码

unixnovice

怕麻烦的话在你现有的配置上加上第一条有行。假设你的默认动作是ALLOW.还有你写的Ppp0你再看看，不是说你用的是eth1么？