求教：iptables怎样设置才能允许ftp服务的上传和下载

ruger

UID: 24235
帖子: 1
积分: 2
在线时间: 10 分钟

1^# ruger 发表于 2006-10-27 18:36

求教：iptables怎样设置才能允许ftp服务的上传和下载

由于ftp上传、下载时候随机打开了很多高端口，没有规律，不好一个一个的允许，请教具体方法？特殊指令？高手帮忙～

ruger

UID: 24235
帖子: 1
积分: 2
在线时间: 10 分钟

2^# ruger 发表于 2006-10-28 09:28

已解决：对于比较复杂的协议，如FTP和ICQ、IRC不易跟踪，内核有专门的模块来实现，对ftp而言是ip_conntrack_ftp，只要modprobe ip_conntrack_ftp，开始iptables就可以了，详见http://iptables-tutorial.frozentux.net/cn/iptables-tutorial-cn-1.1.19.html

慕容醉

UID: 16954
帖子: 80
积分: 184
在线时间: 9 小时

3^# 慕容醉发表于 2006-11-05 20:58

自问自答？呵呵

walkerxk

UID: 16685
帖子: 115
积分: 264
在线时间: 18 小时

4^# walkerxk 发表于 2006-11-06 20:25

[quote:1f280d6da3="慕容醉"]自问自答？呵呵[/quote]
这样才能成长成高手。

骨头

UID: 43879
帖子: 50
积分: 114
在线时间: 3 小时

5^# 骨头发表于 2006-11-11 11:58

lzd7807

UID: 28137
帖子: 2
积分: 4
在线时间: 10 分钟

6^# lzd7807 发表于 2006-11-16 14:59

呵呵，学习一下

hexing

UID: 18631
帖子: 1
积分: 2
在线时间: 10 分钟

7^# hexing 发表于 2006-11-21 09:43

不错，赞一个

shepherb

UID: 6425
帖子: 71
积分: 163
在线时间: 7 小时

8^# shepherb 发表于 2007-03-30 21:59

insmod ip_conntrack_ftp
添加FTP跟踪模块
FTP服务器如果是被动FTP则如下：
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1024: -m state --state ESTABLISHED -j ACCEPT