[问题求助]请教iptables中的连接跟踪 [复制链接]

最近在看连接跟踪，.很多地方不是很理解。.
我先说说我的网络情况：使用一个双网卡的机器装fedora2，然后配置成网桥模式，一..个网卡连接一个终端，另一个连接因特网。健康

我把iptables清空（iptables .-F），然后上网，或者FTP，这时在/proc/net/.ip_conntrack下可以看到连接的状态。学习

然后.在linux上配置命令如下：             汽车
iptables -A FORWA.RD -p tcp --dport 21 -m state --state NEW,ESTABLISHED.,RELATED -j ACC.EPT    美容
iptables -A FORWARD -p tcp --sport 21 -m sta.te -.-state .NEW,ESTABLISHED,RELATED -j ACCEPT--- 印刷
iptab.le -A FORWARD -j DR.OP域名
这时，FTP只能登录，但是f.tp-d.ata(20端口)不能传输数据。.
然后再使用上面的命令对20端口进.行相同.的操作，这时ftp就可以使用了。虚拟主机

这里我有几个问题：
1，我把iptables清.空时，在ip_conntrack中也可以看到.连接跟踪的情况，这是不是说ip_conntrack的功能系统默认启动了？.
2，关于ip_conntrack_ftp模块的问题，我不知道这个模块的用.途是什么，因为不管加不加这个模块，目前在我试验的接过来看，照样得用上面的配置命令。或者说在加载ip_conntrack_ftp后，ip.tables配置命令是否有变化.，             汽车
3，另外，就是RELATED状态，这个不在ip_connt.rack文件中出现吧，我怎么没有看到过.呢？             汽车

刚开始学iptables，.还请各位指点。    健康

呵呵，还是烦请高手指点一二，特别是第2个问题，多谢。

QUOTE:原帖由 sxh77 于 2006-4-7 16:19 发表
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

条件越复杂，匹配内容越少，匹配范围越窄
iptables -A FORWARD -p tcp --dport -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

ip_conntrack_ftp模块,是用来在跟踪FTP 控制通道建立后，是否允许数据通道连接建立。也就是说，加载这个模块后，如果FTP控制通道建立后，可以使用RELATED标记跟踪FTP数据通道连接请求，不必使用NEW标志。

ip_nat_ftp如果你想让ftp包通过网桥，还需要加载这个，否则一样出现上面的问题