防火墙ftp规则设置-定位原创

定位

iptables防火墙规则如下：（ftp是可以连上的，照理说也可以通过20端口获取数据，但就是获取不到）

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.106       tcp dpt:21 state NEW
      
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.106        0.0.0.0/0           state RELATED,ESTABLISHED

windows上测试结果如下：（就是获取不到数据）


解决方法：

2.6.32之前的内核，iptables模块：ip_nat_ftp、ip_conntrack_ftp、ip_conntrack
而在2.6.32之后，包括此内核，iptables模块被相应的模块取代了：nf_nat_ftp、nf_conntrack_ftp、nf_conntrack

我这里的内核是：
[root@cbh ~]# uname -r
2.6.32-431.el6.x86_64

在这里我们需要加载iptables的ip_nat_ftp、ip_conntrack_ftp模块，就可以解决问题了
modprobe  ip_nat_ftp
modprobe ip_conntrack_ftp（由于ip_conntrack_ftp模块是和ip_nat_ftp相关的，所以这部可以省略）


再次测试：