IPTABLES映射FTP端口出現(xiàn)問(wèn)題？

syl_0735

服務(wù)器情況如下：
1）A機(jī)器IP地址：218.108.23.52－－－－－－－－》對(duì)外提供訪問(wèn)的IP
2）B機(jī)器IP地址：10.252.0.50－－－－－－－－－》內(nèi)部真實(shí)的ftp服務(wù)器地址，ftp服務(wù)器軟件用的 proftp

A機(jī)器對(duì)外提供21號(hào)端口，并通過(guò)nat映射到B機(jī)器上。下面是A機(jī)器上的iptables語(yǔ)句：
# Generated by iptables-save v1.2.11 on Wed Nov  7 17:41:20 2007
*filter
:INPUT ACCEPT [65595:34165759]
:FORWARD ACCEPT [179914:97541584]
:OUTPUT ACCEPT [1843:154216]
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT COMMIT
# Completed on Wed Nov  7 17:41:20 2007
# Generated by iptables-save v1.2.11 on Wed Nov  7 17:41:20 2007
*nat
REROUTING ACCEPT [967:53787]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1431:100410]
-A PREROUTING -d 218.108.23.52 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j DNAT --to-destination 10.252.0.50:21
-A POSTROUTING -d 10.252.0.50 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j SNAT --to-source 218.108.23.52
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Wed Nov  7 17:41:20 2007

另外A服務(wù)器已經(jīng)加載了ip_nat_ftp和ip_conntrack_ftp模塊，并且ip_forward已經(jīng)打開(kāi)轉(zhuǎn)發(fā)

我連接218.108.23.52沒(méi)有反映，用網(wǎng)際快車(chē)連接顯示結(jié)果如下：
Wed Nov 07 16:50:00 2007 正在連接 218.108.23.52 [IP=218.108.23.52:21]
Wed Nov 07 16:50:00 2007 Socket已連接 ,等待歡迎信息
Wed Nov 07 16:50:20 2007 超時(shí).
Wed Nov 07 16:50:20 2007 有錯(cuò)誤發(fā)生!
Wed Nov 07 16:50:20 2007 等待 2秒后重試
Wed Nov 07 16:50:22 2007 正在連接 218.108.23.52 [IP=218.108.23.52:21]
Wed Nov 07 16:50:22 2007 Socket已連接 ,等待歡迎信息

我怎么解決這個(gè)問(wèn)題？？

syl_0735

達(dá)人們？給一點(diǎn)思路也可以�。�

cx0462

只做了21的映射，20呢？

syl_0735

20端口做了也不行呢��！郁悶了��！
我不想放棄��！

dbsrv

被動(dòng)端口用不用打開(kāi)？

ssffzz1

加載iptables的FTP模塊。conntrack和nat各一個(gè)。

syl_0735

我已經(jīng)加載模塊了呀!

[root@MailServer ~]# lsmod
Module                  Size  Used by
ip_nat_ftp              4913  0
ip_conntrack_ftp       72561  1 ip_nat_ftp
ipt_MASQUERADE          3521  1
ipt_state               1857  10
iptable_filter          2753  1
iptable_nat            23045  3 ip_nat_ftp,ipt_MASQUERADE
ip_conntrack           40693  5 ip_nat_ftp,ip_conntrack_ftp,ipt_MASQUERADE,ipt_state,iptable_nat
ip_tables              16193  4 ipt_MASQUERADE,ipt_state,iptable_filter,iptable_nat
md5                     4033  1
ipv6                  232577  16
dm_mod                 54741  0
button                  6481  0
battery                 8517  0
ac                      4805  0
uhci_hcd               31449  0
e100                   39364  0
mii                     4673  1 e100
floppy                 58609  0
ext3                  116809  3
jbd                    74969  1 ext3


看看還有什么模塊沒(méi)有加載呢?

ssffzz1

-A PREROUTING -d 218.108.23.52 --dport 21 -j DNAT --to-destination 10.252.0.50:21
所有的規(guī)則清掉，只加這一句，記得加FTP模塊。
另外FTP服務(wù)器本身的防火墻，和服務(wù)本身應(yīng)該正常。

[ 本帖最后由 ssffzz1 于 2007-11-8 09:44 編輯 ]

syl_0735

哈，謝謝版主哈～～～原來(lái)這么簡(jiǎn)單哦��！不過(guò)你少說(shuō)了一條哦！還要加個(gè)POSTROUTING語(yǔ)句的！還有"--dport"前邊要加個(gè)"-p tcp"的�。≡俅胃兄x版主！

aitilang

為什么會(huì)這樣呢？
是不是

-A POSTROUTING -j MASQUERADE

的問(wèn)題？
這條規(guī)則是讓B能夠上網(wǎng)的。。。。。



還請(qǐng)ssffzz1賜教

[ 本帖最后由 aitilang 于 2007-11-8 14:49 編輯 ]