[问题求助]IPTABLES映射FTP端口出现问题？ [复制链接]

服务器情况如下：
1）A机器IP地址：218..108.23.52－－－－－－－－》对外.提供访问的IP--- 印刷
2）B机器IP地址：10.252.0.50－－－－－－－－－》内.部真实的ftp服务器地址，ftp服务器软件用的 proft.p.

A机器对外.提供21号端口，并通过.nat映射到B机器上。下面是A机器上的iptables语句：           鲜花
#. Generated by iptables-save v1.2.11 on Wed Nov  7 17:41:.20 2007电脑
*filter
:INPU.T ACCEPT .[65595:34165759]
:FORWARD AC.CEPT [179914:9754.1584]--- 印刷
:OUTP.UT A.CCEPT [1843:154216]--------------彩票
-A INPUT -p. tcp -m tcp --.dport 21 -j ACCEPT .
-A INPUT -p tcp -m t.cp --dport 21 -j. ACCEPT 虚拟主机
-A INPUT -m state --sta.te NEW,R.ELATED,ESTABLISHED -j ACCEPT .
-A INPUT -p tcp -m tcp --.sport 1024:65535 --dport 1024:65535 -m state --stat.e ESTABLISHE.D -j ACCEPT              电子
-A INPUT -p tcp -m tc.p --sport 20 -m state --state RE.LATED,ES.TABLISHED -j ACCEPT <性病>
-A OUTPUT -p .tcp -m tcp --spor.t 21 -j ACCEPT [成人用品]
-A. O.UTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT (        游戏          )
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m. state. --state RELATED,ESTABLIS.HED -j ACCEPT .
-A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED. -j ACCEP.T C.OMMIT.
# Compl.eted on Wed Nov . 7 17:41:20 2007.
# Ge.nerated by iptables-save v1.2.11 on Wed Nov . 7 17:41:20 2007虚拟主机
*nat
REROUTING ACCEPT [967:53787]http://upload.bbs.csuboy.com/Mon_1004/126_6972_e3d115ab71927ac.gif[/img].
OSTROUTING ACCEPT [0:0]http://upload.bbs.csuboy.com/Mon_1004/126_6972_e3d115ab71927ac.gif[/img]    外汇
:OUTPUT ACCEPT [1431.:10.0410](广告)
-A PREROUTING -d 218.108.23.52 -p tcp -m tcp --dport 21 -m state --state NEW,.RELATED,ESTABLISHED -j .DNAT --to-d.estination 10.2.52.0.50:21 域名
-A POSTROUTING -d 10.25.2.0.50 -p tcp -m tcp --dport 21 -m state. --state NEW,RELATE.D,ESTAB.LISHED -j SNAT --to-source 218.108.23.52 .
-A POSTROUTING. -j M.ASQUERADE (        游戏          )
COMMIT
# Completed on Wed Nov  7 17:4.1:20 20.07              乙肝

另外A服务器已经加载了ip_nat_ftp和ip_.conntrack_ftp模块，并且ip_for.ward已经打开转发外贸

我连接218.108.23.52没有反映，用网际.快车连接显示结果如下：.    外汇
Wed Nov 07 16:50:00 2007 正在连接 218.108.23.5.2 [IP=218.108.2.3.52:21]    健康
Wed Nov 07 .16:50:00 2007 Socket已连接 ,等待欢.迎信息域名
Wed Nov 07 1.6:50.:20 2007 超时.健康
Wed Nov 07 16:50:20 200.7 有错误发.生!.
Wed Nov 07 16:50:20 20.07 等待 2秒后.重试.
Wed Nov. 07 16:50:22 2007 正在连接 2.18.108.23.52 [IP=218.108.23.52:21].
Wed N.ov 07. 16:50:22 2007 Socket已连接 ,等待欢迎信息    美容

我怎么解决这个问题？？

达人们？给一点思路也可以啊！

只做了21的映射，20呢？

20端口做了也不行呢！！郁闷了！！
我不想放弃啊！

被动端口用不用打开？

加载iptables的FTP模块。conntrack和nat各一个。

我已经加载模块了呀!

[root@MailServer ~]# lsmod
Module                  Size  Used by
ip_nat_ftp              4913  0
ip_conntrack_ftp       72561  1 ip_nat_ftp
ipt_MASQUERADE          3521  1
ipt_state               1857  10
iptable_filter          2753  1
iptable_nat            23045  3 ip_nat_ftp,ipt_MASQUERADE
ip_conntrack           40693  5 ip_nat_ftp,ip_conntrack_ftp,ipt_MASQUERADE,ipt_state,iptable_nat
ip_tables              16193  4 ipt_MASQUERADE,ipt_state,iptable_filter,iptable_nat
md5                     4033  1
ipv6                  232577  16
dm_mod                 54741  0
button                  6481  0
battery                 8517  0
ac                      4805  0
uhci_hcd               31449  0
e100                   39364  0
mii                     4673  1 e100
floppy                 58609  0
ext3                  116809  3
jbd                    74969  1 ext3


看看还有什么模块没有加载呢?

-A PREROUTING -d 218.108.23.52 --dport 21 -j DNAT --to-destination 10.252.0.50:21
所有的规则清掉，只加这一句，记得加FTP模块。
另外FTP服务器本身的防火墙，和服务本身应该正常。

[ 本帖最后由 ssffzz1 于 2007-11-8 09:44 编辑 ]

哈，谢谢版主哈～～～原来这么简单哦！！不过你少说了一条哦！还要加个POSTROUTING语句的！还有"--dport"前边要加个"-p tcp"的！！再次感谢版主！

为什么会这样呢？
是不是
-A POSTROUTING -j MASQUERADE

的问题？
这条规则是让B能够上网的。。。。。



还请ssffzz1赐教

[ 本帖最后由 aitilang 于 2007-11-8 14:49 编辑 ]