큰 문제가 있습니다. 설명하겠습니다. 나는 두 대의 컴퓨터를 구성했습니다. 하나는 방화벽인 "fw"이고 다른 하나는 "서버"라고 불리는 이 컴퓨터에 연결되어 있으며 둘 다 데비안 10 버스터 시스템입니다. fw 시스템은 iptables를 사용하여 IP를 가장합니다. "공용 IP": 88.20.100.2, 로컬 범위: 192.168.150.0/24
이것은 수동 모드를 갖도록 내 FTP 서버인 vsftpd의 구성입니다.
pasv_enable=Yes
pasv_max_port=2000
pasv_min_port=1000
pasv_address=88.20.100.2
특별한 것. 방화벽에서 이 iptables를 활성화하면 작동합니다(enp0s9 = 인터넷, enp0s3 = LAN).
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 21 -i enp0s9 -o enp0s3 -d 192.168.150.98 -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -i enp0s3 -o enp0s9 -s 192.168.150.98 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1000:2000 -d 192.168.150.98 -i enp0s9 -o enp0s3 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1000:2000 -s 192.168.150.98 -i enp0s3 -o enp0s9 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o enp0s9 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 192.168.150.98:21
iptables -t nat -A PREROUTING -p tcp --destination-port 1000:2000 -j DNAT --to-destination 192.168.150.98
내 문제는 항상 그런 것은 아니지만 연결이 FTP 서버와 관련된 경우에만 1000:2000 포트를 열 수 있기를 원한다는 것입니다. -m state 및 -m conntrack을 사용해 보았지만 뭔가 잘못한 것 같습니다. 어떤 아이디어? 감사해요