研究Linux下Firewall防火墙的配置

最近在研究Linux下Firewall的配置，发现配置好防火墙以后ftp就有问题了，一直都不能够用Filezilla 和 CuteFTP登录，在列出目录的时候一直会失败。但是在命令行下面如果先执行passive off，一切正常。

答案在CU上找到的，主要是要使用 ip_conntrack_ftp

原文：

使用 -P INPUT DROP 引起的网路存取正常，但是 ftp 连入却失败？

依据前面介绍方式，只有开放 ftp port 21 服务，其他都禁止的话，一般会配置使用：

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

这样的配置，确认 ftp 用户端是可以连到 ftp 主机并且看到欢迎登入画面，不过后续要浏览档案目录清单与档案抓取时却会发生错误。..

ftp 协定本身于 data channnel 还可以区分使用 active mode 与 passive mode 这两种传输模式，而就以 passive mode 来说，最后是协议让 ftp client 连结到 ftp server 本身指定于大于 1024 port 的连接埠传输资料。

这样配置在 ftp 传输使用 active 可能正常，但是使用 passive mode 却发生错误，其中原因就是因为该主机firewall 规则配置不允许让 ftp client 连结到 ftp server 指定的连结埠才引发这个问题。