Жаль парни для глупого вопроса, но я не могу открыть свой FTP (ProFTPd) от браузера на CentOS 6.5. Когда я останавливаю IPtables, у меня нет проблемы, но когда работает, я имею.
Порт 21 открыт, порт 20 не (я не знаю, как открыть его).
РЕДАКТИРОВАНИЕ 1:
Вывод от "iptables-L-n"
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
РЕДАКТИРОВАНИЕ 2: @HBruijn Его путем работа для меня.
Ваш вопрос сформулирован не очень хорошо, но симптомы, которые вы описываете, указывают на то, что пассивный FTP работает некорректно в комбинации с вашим брандмауэром.
Обычно команды insmod nf_conntrack_ftp
достаточно для загрузки модуля помощи FTP в плохо сконфигурированный брандмауэр RHEL6 или CentOS.
Чтобы сделать это постоянным:
отредактируйте файл конфигурации /etc/sysconfig/iptables-config
и добавьте вспомогательный модуль nf_conntrack_ftp
к переменной IPTABLES_MODULES:
IPTABLES_MODULES="nf_conntrack_ftp"
или добавьте его к любым другим модулям, уже перечисленным там.
. Вы можете либо напрямую отредактировать конфигурационный файл iptables /etc/sysconfig/iptables
, либо перезапустить службу iptables. Или изменить, а затем сохранить запущенный конфигурационный файл. В качестве корневого, или sudo:
# If using a custom chain for this sort of thing, APPEND port to chain:
iptables -A MYCHAIN -m state --state NEW -p tcp --dport 20 -j ACCEPT
service iptables save
Если у вас есть строка REJECT в цепочке INPUT, вы должны убедиться, что порт, который вы добавляете в брандмауэр, вставлен перед REJECT: Также не забудьте сделать то же самое для ip6tables
, если это необходимо.