谁分享一下你的iptables规则

gdtv

我在虚拟机里装来测试的
以前装的时候不懂桌面版还是server版，随便装了一个

cpuer

原帖由 gdtv 于 2009-7-19 14:45 发表
我在虚拟机里装来测试的
以前装的时候不懂桌面版还是server版，随便装了一个

都适用，他这给的就是为个人PC不需要提供各种web服务的规则。

gdtv

原帖由 freebsd 于 2009-7-19 13:29 发表


我有些经常碰到的问题手熟而已，大多还是不懂的。我VPS上的，因为也没什么特别的应用，就这点已经足够了。另外配合个检查链接的脚本，封掉过多的单IP链接，可以抗小规模的CC攻击。

...

我按这里的设置，发现FTP可以连上，但只能用port模式，并且列目录失败，怎么办呢？

cpuer

原帖由 gdtv 于 2009-7-19 22:45 发表

我按这里的设置，发现FTP可以连上，但只能用port模式，并且列目录失败，怎么办呢？

ftp连接里面的具体错误提示信息？

gdtv

[右] 227 Entering Passive Mode (199,71,212,135,45,85)
[右] 正在打开数据连接 IP: 199.71.xxx.xxx 端口: 11605
[右] 数据 Socket 错误: 连接超时
[右] 列表错误
[右] PASV
[右] 227 Entering Passive Mode (199,71,212,135,160,199)
[右] 正在打开数据连接 IP: 199.71.xxx.xxx 端口: 41159
[右] 数据 Socket 错误: 连接超时
[右] 列表错误
[右] PASV 模式失败, 尝试 PORT  模式。
[右] 监听端口: 2749, 等待连接。
[右] PORT 192,168,1,100,10,189
[右] 200 PORT command successful. Consider using PASV.
[右] LIST -al
[右] 150 Here comes the directory listing.
[右] 226 Directory send OK.
[右] 列表完成: 180 字节 于 0.91 秒 (0.2 KB/s)
[右] PORT  模式成功, 请更新你的站点配置文件。

gdtv

http://www.oklinux.cn/html/network/wlaq/20090701/71529.html
这里有个说明
但我不知具体怎么加到/etc/sysconfig/iptables里面

cpuer

原帖由 gdtv 于 2009-7-19 23:11 发表
http://www.oklinux.cn/html/network/wlaq/20090701/71529.html
这里有个说明
但我不知具体怎么加到/etc/sysconfig/iptables里面

直接SSH里面做命令运行。

freebsd

原帖由 gdtv 于 2009-7-19 23:00 发表
[右] 227 Entering Passive Mode (199,71,212,135,45,85)
[右] 正在打开数据连接 IP: 199.71.xxx.xxx 端口: 11605
[右] 数据 Socket 错误: 连接超时
[右] 列表错误
[右] PASV
[右] 227 Entering Passive Mode (199,7 ...

vsftpd配置文件里加上：

pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50200

这里的端口范围和iptables开放的端口范围一致就可以了。

cpuer

原帖由 freebsd 于 2009-7-20 09:29 发表



vsftpd配置文件里加上：


这里的端口范围和iptables开放的端口范围一致就可以了。

gdtv

我用了别一种修改方法：
iptables规则用你原来的，然后
在/etc/sysconfig/iptables-config 里的 IPTABLES_MODULES 加上 "ip_nat_ftp ip_conntrack_ftp"