您好,在防火墙后面有一个 FTP 服务器,并且存在 DNAT 配置问题,内部服务器的 IP 为 192.168.4.110:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20 -j DNAT --to-destination 192.168.4.110:20
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to-destination 192.168.4.110:21
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1024:1048 -j DNAT --to-destination 192.168.4.110:1024-1048
我已经加载nf_nat_ftp
了nf_conntrack_ftp
模块,但不起作用,从 FTP 客户端我有一个超时
答案1
您在现有配置中引用了端口范围“1024-1048”。这是否意味着您已将 FTP 服务器限制为仅使用这些端口进行数据连接?如果是这样,那么您所做的应该有效。
通过执行以下操作检查您的机器是否设置为路由数据包:
cat /proc/sys/net/ipv4/ip_forward
如果启用了转发,您应该会得到“1”,这是您想要实现的目标所必需的。