以下是允许不起作用的被动 FTP 的规则。
/proc/sys/net/netfilter/nf_conntrack_helper 设置为 1
nf_conntrack_ftp模块已加载。
是什么阻碍了它?我真的需要计数器吗?如果我已经使用 ct state established,related accept 行允许已建立的相关连接,我真的需要 tcp dport 1024-65535 行吗?
table inet myhelpers {
ct helper ftp-standard {
type "ftp" protocol tcp
}
chain input {
type filter hook prerouting priority 0;
tcp dport 21 ct helper set "ftp-standard"
}
}
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept
# passive FTP
tcp dport 21 ct state established,new counter accept
tcp dport 20 ct state established,related counter accept
tcp dport 1024-65535 ct state established,related counter accept
}
}
答案1
谢谢你的回答,AB 你说得对。还有一件事。我正在使用 TLS 测试 FTP,在 TLS 中,控制连接是加密的,因此防火墙无法知道服务器提供的被动端口是什么。我必须指定这一点。一旦我这样做了,它就开始工作了。