我必须在我的iptables文件中注释这两行,因为由于某种原因,它拒绝了ftp列表(它连接到ftp服务器,但它从来没有列出文件,然后它只是超时):
-A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited 我改变了…
# -A INPUT -j REJECT --reject-with icmp-host-prohibited # -A FORWARD -j REJECT --reject-with icmp-host-prohibited
可能是什么问题? 我在另一台服务器上有相同的2行,我没有问题在FTP服务器上的FTP列表文件。
如果你需要它,这是完整的iptables文件:
# Generated by iptables-save v1.4.7 on Wed Jan 15 22:36:31 2014 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [3:412] -A INPUT -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 11211 -j ACCEPT # -A INPUT -j REJECT --reject-with icmp-host-prohibited # -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A OUTPUT -p tcp -m tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT COMMIT # Completed on Wed Jan 15 22:36:31 2014
您忘记在您的FTP规则上启用连接跟踪。
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
像其他规则一样,这个规则必须是有状态的,以便FTP数据传输被认为是相关的:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
我也build议你不要盲目地从不同的网站复制规则,花一些时间去理解防火墙是如何工作的。