[问题求助]防火墙代理有问题，请指教 [复制链接]

我使用的是红帽as3。0的linux，使用iptables代理上网，客户机可以上网，而且什.么都好用，但是近日出现一个问题，就是上ftp的时候可以登陆上去，但是认证成功后，想浏览文件的时候总出现数据超时，这是在客户机上出现的问题，但是在我的主机上就不会出现这个问.题，iptables我加的是一条snat，在.以前上ftp的时.候还好.用，就是最近好象有问题了。大家看看有没有遇到这个问题，指教一下。投资

在客户端关掉PASV模式试一下

防火墙内部的主机访问外部的ftpserver,联接后,发出ls命令后,ls的结果在非passive模式下是由外部ftpserver发出到内部主机的tcp 20端口的联接,然后在这个联接上将ls的结果传回来,因为放火墙的原因,这个联接一般是被禁止的,所以超时.
采用passive模式时,外部ftpserver等待内部主机新建一个tcp联接,将ls的结果从这个联接上传回来,而这个连接,防火墙是允许的.
所以如果防火墙作了Nat,只能采用passive方式才可以.
(passive是指ftpserver采用被动方式等待客户机进行第二条tcp的联接 ,要只道ftp使用了两个tcp连接进行通讯)

对啊 你这个应该是正确解释，你说的我也知道，但是怎么设计iptables来可以数据连接port下的ftp站点啊。我比较关心的是解决方法，我觉得应该可以解决的。

[quote]原帖由 "keenty"]防火墙内部的主机访问外部的ftpserver,联接后,发出ls命令后,ls的结果在非passive模式下是由外部ftpserver发出到内部主机的tcp 20端口的联接,然后在这个联接上将ls的结果传回来,因为放火墙的原因,这个联接一般是被禁?.........[/quote 发表：

这个朋友好象把ftp的原理给弄的不清楚，外部ftpserver是开启自己的ftp-data端口也就是20端口，而内部的计算机是开启自己的一个随机而且未被占用而且是1024以下的端口。这个问题和本题无关，只是纠正错误而言。