关于内网FTP的问题

vqf99 · 发表于 2002-11-8 08:57:07

主机rh8.0 二块网卡 eth0 218.*.*.* eth1 192.168.0.1 副机网卡 192.168.0.2
现在副机开FTP想让外网访问,iptables如下:
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -d 218.*.*.* -p tcp --dport 21 -j DNAT --to-destination 192.168.0.2:21
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source 218.*.*.*
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
现在内网连接ftp可以通过主机转发回内网,可是外网不能连入内网的FTP,请问高手如何解决.

黑企鹅 · 发表于 2002-11-8 09:16:19

你可以把
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source 218.*.*.*
>>这一句去掉..因为下面那一句MASQ就做到了这一点..
>>并且外网不能连你的内网FTP, 应该就是因为这个.
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
>>这一句也去掉.
ftp还要用20端口.你也把20的DNAT加上.

我觉得应该先让服务器跑起来,再一步一步的做限制.

在www.linuxforum.net上的CMMP里有中文的iptables文档.你可以去看看.

vqf99 · 发表于 2002-11-8 09:51:23

vqf99 · 发表于 2002-11-8 11:09:04

问题出在/sbin/iptables -P FORWARD DROP,另外实现MASQ是不是要编译内核?

黑企鹅 · 发表于 2002-11-9 11:04:50

iptable 的所有模块都可以以模块方式加入内核,也可以预先编译到内核中.

linuxforum上有很好的Iptables文档.

		自动登录	找回密码
密码			注册

关于内网FTP的问题

thanks,我试试

问题解决了,感谢黑企鹅

..

浏览过的版块