摩托學園討論區

[Tetralet]

如果在本機（不是 NAT 哦！）使用 iptables 時，
如何開放 FTPData 的連線呢？

我以前的作法是：


# 檔掉不是用來嘗試連線的封包
iptables -A INPUT -i eth0 -p tcp ! --syn -s $NotMyIP --source-port \
1024:65535 -d $MyIP --destination-port 1024:65535 -j ACCEPT

# 讓所有 1024 以上的 Port 都開放
iptables -A OUTPUT -o eth0 -p tcp -s $MyIP --source-port 1024:65535 \
-d $NotMyIP --destination-port 1024:65535 -j ACCEPT


但有沒有比較好的方法呢？

好啦，
我知道問這個問題實在是很菜，
但是請各位大大不吝指教。謝謝！

[阿信]

恩...我覺得這樣寫法滿...奇特的...

還沒看過這樣的想法，Tetralet是怕有人會掃port然後delay網路嗎？

iptables -A INPUT -i ppp+ -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

小弟認為這樣的指令就夠了呢。

而ftp傳檔部份是用Tetralet兄的第二個步驟，但覺得有點多此一舉...小弟的想法可能不夠周全，還請海涵。

[訪客]

恩...我覺得這樣寫法滿...奇特的...

還沒看過這樣的想法，Tetralet是怕有人會掃port然後delay網路嗎？

iptables -A INPUT -i ppp+ -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

小弟認為這樣的指令就夠了呢。

而ftp傳檔部份是用Tetralet兄的第二個步驟，但覺得有點多此一舉...小弟的想法可能不夠周全，還請海涵。

謝謝指教！

我還以為是不是載入某個模組就可以解決了....

[Tetralet]

恩...我覺得這樣寫法滿...奇特的...

還沒看過這樣的想法，Tetralet是怕有人會掃port然後delay網路嗎？

iptables -A INPUT -i ppp+ -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

小弟認為這樣的指令就夠了呢。

而ftp傳檔部份是用Tetralet兄的第二個步驟，但覺得有點多此一舉...小弟的想法可能不夠周全，還請海涵。

糟了！又忘記登入了！ -__-|||

其實那一個寫法是從網路上抄下來的，
只是很好奇為什麼 FTP-Data 在 nat 下載入模組即可，
但是本機卻要那麼煩麻呢﹖

[阿信]

nat下，你是指ip_nat的東西嗎？

那是為了解決虛擬ip使用ftp的功能，Tetralet如果要檔外部的封包，當然是針對nat server摟，nat下的機器不用管這個摟。