我需要问一个关于安装某些软件包以及在 centOS 中调整 iptable 的必要性的一般问题;当我安装 apache 软件包并在 /var/www/html 中放置一个简单的测试页面时,它不想拉起,直到我真正进入 ipTables 并添加一行以打开端口 80。我现在在设置 ftp 和 vsftpd 时遇到同样的问题。但他们更固执。我已将端口 20 和 21 添加到 iptables,但仍然被拒绝。我停止了 iptables 并能够让 FileZilla 连接。
我的一位同事告诉我,我根本不需要这样做。只需安装软件包就可以完成所有配置设置。他是对的吗?centOS6.4 还太新,有 bug 吗?
我查看了一些关于设置 vsftpd 的文档,但它们有所不同。
感谢帮助。
以下是我从 iptables 得到的输出:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp-data
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
6 725 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
20 1376 ACCEPT all -- any any anywhere anywhere state
RELATED,ESTABLISHED
0 0 ACCEPT icmp -- any any anywhere anywhere
0 0 ACCEPT all -- lo any anywhere anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:ssh
557 91720 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 18 packets, 3833 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp-data
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp
答案1
您缺少一条基于现有流量接受流量的规则(使 iptables 有状态的规则)。这应该是您的第一条规则:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT