iptables开启后ftp无法列表的解决办法

作者:monface 发布时间:February 18, 2012 分类:服务器 3 Comments

通常我们使用iptables来限制某些访问,开启80端口的代码如下
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
那么ftp的21端口就是-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
但是这次发现个问题就是ftp能连接,但是无法列表,那么肯定是被动模式下动态端口还是别禁用了
只需要一个简单的命令即可解决问题
modprobe ip_conntrack_ftp
这个命令就是让iptables成功通过ftp.
再共享2个iptables规则
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
iptables -A INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 100 -j REJECT –reject-with tcp-reset
以上2个都是只接受每個 ip 20 個 http 連線 (httpd.conf 裡面的 MaxClients 預設是 60)。

标签: FTP, iptables, modprobe, ip_conntrack_ftp

已有 3 条评论 »

  1. 你会原创

  2. 路过看看,留个脚印再拜读

添加新评论 »