后来想起来之前配置的时候有个ip_conntrack
但是在防火墙的sh文件中没有找到,于是手动在防火墙的配置里添加
文章如下:
启用iptables跟踪功能:
我们的服务器通常要有防火墙的,而我们的ftp服务一般工作在被动模式,如果我们设置ftp服务器(ip:1.1.1.1)的防火墙规则,而工作在被动模式的ftp服务可能会被挡掉,可以启用iptables的跟踪功能解决:
安装模块:
#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
是这些模块能自动装载:
#vim /etc/sysconfig/iptables-config
修改:
IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"
例:设置ftp服务器的规则可以如下,使用RELATED选项:
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -A INPUT -d 1.1.1.1 -p tcp --dport 20:21 -j ACCEPT
#iptables -A OUTPUT -s 1.1.1.1 -p tcp --sport 20:21 -j ACCEPT
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
好了,我们可以用虚拟用户可以正常访问ftp服务器了。