防火墻代理有問題，請(qǐng)指教

geniusdao

我使用的是紅帽as3。0的linux，使用iptables代理上網(wǎng)，客戶機(jī)可以上網(wǎng)，而且什么都好用，但是近日出現(xiàn)一個(gè)問題，就是上ftp的時(shí)候可以登陸上去，但是認(rèn)證成功后，想瀏覽文件的時(shí)候總出現(xiàn)數(shù)據(jù)超時(shí)，這是在客戶機(jī)上出現(xiàn)的問題，但是在我的主機(jī)上就不會(huì)出現(xiàn)這個(gè)問題，iptables我加的是一條snat，在以前上ftp的時(shí)候還好用，就是最近好象有問題了。大家看看有沒有遇到這個(gè)問題，指教一下。

llzqq

在客戶端關(guān)掉PASV模式試一下

geniusdao

這個(gè)問題我試了，我發(fā)現(xiàn)好象只有pasv模式好用。但是如果是port模式就不好用了。大家再想想辦法

race

我遇到了跟你類似的問題，單位的對(duì)外IP換了之后，就出現(xiàn)FTP的問題，奇怪的是網(wǎng)關(guān)上做都是正常的，我也正在解決這些問題。

你的問題，可以考慮使用SUQID和iptables -t nat PREROUTING做透明代理試試，這些資料很多。

keenty

防火墻內(nèi)部的主機(jī)訪問外部的ftpserver,聯(lián)接后,發(fā)出ls命令后,ls的結(jié)果在非passive模式下是由外部ftpserver發(fā)出到內(nèi)部主機(jī)的tcp 20端口的聯(lián)接,然后在這個(gè)聯(lián)接上將ls的結(jié)果傳回來,因?yàn)榉呕饓Φ脑��?這個(gè)聯(lián)接一般是被禁止的,所以超時(shí).
采用passive模式時(shí),外部ftpserver等待內(nèi)部主機(jī)新建一個(gè)tcp聯(lián)接,將ls的結(jié)果從這個(gè)聯(lián)接上傳回來,而這個(gè)連接,防火墻是允許的.
所以如果防火墻作了Nat,只能采用passive方式才可以.
(passive是指ftpserver采用被動(dòng)方式等待客戶機(jī)進(jìn)行第二條tcp的聯(lián)接 ,要只道ftp使用了兩個(gè)tcp連接進(jìn)行通訊)

geniusdao

對(duì)啊 你這個(gè)應(yīng)該是正確解釋，你說的我也知道，但是怎么設(shè)計(jì)iptables來可以數(shù)據(jù)連接port下的ftp站點(diǎn)啊。我比較關(guān)心的是解決方法，我覺得應(yīng)該可以解決的。

geniusdao

[quote]原帖由 "keenty"]防火墻內(nèi)部的主機(jī)訪問外部的ftpserver,聯(lián)接后,發(fā)出ls命令后,ls的結(jié)果在非passive模式下是由外部ftpserver發(fā)出到內(nèi)部主機(jī)的tcp 20端口的聯(lián)接,然后在這個(gè)聯(lián)接上將ls的結(jié)果傳回來,因?yàn)榉呕饓Φ脑��?這個(gè)聯(lián)接一般是被禁?.........[/quote 發(fā)表：

這個(gè)朋友好象把ftp的原理給弄的不清楚，外部ftpserver是開啟自己的ftp-data端口也就是20端口，而內(nèi)部的計(jì)算機(jī)是開啟自己的一個(gè)隨機(jī)而且未被占用而且是1024以下的端口。這個(gè)問題和本題無關(guān)，只是糾正錯(cuò)誤而言。