首页 > 网络 > 简要介绍一下用nat支持内网被动ftp的方法

简要介绍一下用nat支持内网被动ftp的方法

2007年4月1日

先做如下假设:
内网的FTP地址为192.168.1.100
做网关的机器,公网IP 1.2.3.4,内网IP 192.168.1.1

这里要求你的网关的机器的iptables必须支持监听ftp的内容,也就是有如下模块:
ip_conntrack_ftp ports及ip_nat_ftp,可以用modprobe来监测是不是有。
如果没有的话,你就得自己编译的啦,还会动到内核,挺麻烦,patpat

insmod ip_conntrack_ftp ports=21
insmod ip_nat_ftp ports=21

iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp –dport 21 -j DNAT –to 192.168.1.100:21

另外,如果你的内网有多个FTP主机,你可以在网关上开1021,2021两个端口用以映射,上面的ports=21写成ports=1021,2021这个形式,下面的iptables命令也相应写两份。

最后,你还应该在内网的FTP上设源地址路由,使其往公网的流量走网关机,就OK啦。

网络 , ,

  1. 目前还没有任何评论.
  1. 目前还没有任何 trackbacks 和 pingbacks.