我有两台机器,machine1 配置了 192.168.1.0/24 网络,machine2 配置了 10.10.0.0/24 网络。
我已经用 断开了两个网络之间的通信iptables -P FORWARD DROP。但我想在主动模式下允许与 machine2 建立 ftp 连接。
我按照下面的规则来实现这一点,但是当我测试时它不起作用。
iptables –A FORWARD –s 192.168.1.0/24 –d 10.10.0.1 –p tcp –-dport 20:21 –m state -–state NEW,ESTABLISHED –j ACCEPT
iptables –A FORWARD –d 10.10.0.1 –s 192.168.1.0/24 –p tcp –-dport 20:21 –m state –-state NEW,ESTABLISHED –j ACCEPT
您能提供一些帮助来了解为什么它不起作用吗?
答案1
首先;如果您的删除规则是链中的第一个规则,则没有任何内容会影响您的下一个规则 - 您需要在允许规则之后制定该规则。
这是双向通信,因此您需要在两个方向上都制定规则。如果您的丢弃规则位于端口 20 之后,则重复此操作应该有效。
iptables -A INPUT -p tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
您需要有转发规则,这些规则将根据您的网络拓扑而有所不同;如果这些规则应用于路由器,从您的描述中我不清楚,则需要在那里设置静态路由,就像您显然做的那样。根据需要调整状态条件(如果这没有意义,请告诉我)。