只允许FTP访问的FW规则编写

Question

我只想让客户访问我的FTP服务器
这个FTP服务器上开了防火墙
我是这样写的
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 20 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 20 -j ACCEPT
不过我一试客户访问不了FTP服务器了

请大家帮帮忙了
谢谢了

Answer 1

顶一下

大家帮忙啊

谢谢

Answer 2

ftp除了21和20这个两个端口之外还需要其他端口，去ftp版精华找有关主动ftp与被动ftp的帖子

Answer 3

up

Answer 4

ftp除了21和20这个两个端口之外还需要其他端口，去ftp版精华找有关主动ftp与被动ftp的帖子

按老哥提示我找了好多资料

但还是不行啊

请老哥帮忙

Answer 5

如果采用主动模式,必须再input上允许外部访问服务器的高位端口,如果是被动模式,必须在output上允许服务器访问外部的高位端口

Answer 6

[quote]原帖由 "bingosek"]如果采用主动模式,必须再input上允许外部访问服务器的高位端口[/quote 发表：

错！
主动模式
client ---->; server (tcp/21)
client (tcp/xxx) <---- server (tcp/20)

很多人认为 tcp/20 是 server 端被动访问的，实际是 server 以 tcp/20 去主动连接的 client

Answer 7

一般ftp server都可以指定被动端口范围，指定后在iptables允许这些端口的入请求就OK了

Answer 8

原帖由 "txkss" 发表：
我只想让客户访问我的FTP服务器
这个FTP服务器上开了防火墙
我是这样写的
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -I IN..........

是iptables -I  INPUT  吗？ 应该是iptables -A  INPUT  -p tcp .........
试试看。我觉得其他的没什么了。

Answer 9

2. service iptables stop
3. modprobe ip_conntrack_ftp
4. iptables -P INPUT DROP
5. iptables -A INPUT -i lo -j ACCEPT
6. iptables -A INPUT -p tcp --dport 21 -j ACCEPT
7. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

复制代码

还是希望大家能学会搜索