需要使用防火牆的狀态跟蹤功能(Connection Tracking)
-
NEW
TCP:SYN連接配接封包。
-
ESTABLISHED
TCP完成三次握手連接配接建立。
-
RELATED
相關的封包。比如FTP指令通道互動後形成的資料通道互動,就是相關封包。
-
INVALID
無效封包。
加載核心子產品
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
lsmod | grep ftp iptables的政策配置(在運作FTP Server的主機上配置)
iptables -P INPUT DROP
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
# iptables -A OUTPUT -d 192.168.0.0/24 -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)