解决使用iptables转发FTP端口后提示无法读取目录列表(MLSD)

几天前把拉斯维加斯服务器的数据转移到了香港的服务器，想到有些人可能没那么快知道，就使用iptables进行端口转发，实现FTP连接到拉斯维加斯服务器的IP，最后是到达香港的FTP服务器。

这实现不难，首先修改配置，实现开机就打开内核转发：

vim /etc/sysctl.conf

1	vim /etc/sysctl.conf

把默认的：

net.ipv4.ip_forward = 0

1	net.ipv4.ip_forward = 0

改成：

net.ipv4.ip_forward = 1

1	net.ipv4.ip_forward = 1

如图：

然后执行：

echo 1 > /proc/sys/net/ipv4/ip_forward

1	echo 1 > /proc/sys/net/ipv4/ip_forward

打开内核转发功能。

使用下面两条命令添加转发规则：

iptables -t nat -I PREROUTING -p tcp --dport 本机端口 -j DNAT --to 目标IP:目标端口

iptables -t nat -I POSTROUTING -p tcp --dport 本机端口(要和上面那句的端口一样) -j MASQUERADE

iptables -t nat -I PREROUTING -p tcp --dport 本机端口 -j DNAT --to 目标IP:目标端口

iptables -t nat -I POSTROUTING -p tcp --dport 本机端口(要和上面那句的端口一样) -j MASQUERADE

然后保存iptables规则，并且重新启动iptables：

service iptables save

service iptables restart

service iptables save

service iptables restart

但是连接FTP时，却提示读取目录列表失败：

后来单手摘JJ也来搞FTP端口转发，我把这个问题告诉了他，他折腾了一下，告诉我，原来执行下面几句还要加载几个iptables的模块：

modprobe iptable_nat

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

modprobe iptable_nat

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

使用过程中发现，iptables重启后就会自动卸载这个三个模块，因此最好把上面三句命令添加到iptables里面。

Tags: FTP, IPTABLES, MLSD, 端口转发

1 Comment

Comments are closed.

You might also like:

服务器, 未分类, 运营维护

巧用Nginx的日志功能配合IPTABLES实现防范基础CC攻击(2013年11月24日8:24:13更新)

相信不少人都被CC过，我也不例外，因此一直以来想尽各种办法降低PHP所占的资源。 PHP所耗的资源算压下去了，带宽却满了…… 之前也看过有人使用Nginx的第三方模块limit req2实现防CC攻击，自己也弄过，但效果没想象中的好，只用了几十分钟我就抛弃了…… 昨天其中考试结束后，突然灵机一动，想到一个新的防CC方法。回家后经过多次调试，几经完善，已经基本能正常使用了。这其中利用了Nginx的日志功能，还有自己写的一个Shell Script。本文出自微宇宙(http://zhensheng.im)，转载者死一户口本。 Apache的请移步这里：Apache:只有访客IP的日志格式首先给 […]

L4(传输层)IP透明反向代理的实现(传递客户端真实IP)

这种需求，一般来说，会在应用层加个标记标明客户端的IP，例如说HTTP，就是添加个请求头的事情。但并不是所有服务器程序、协议你都能这样下手。所以能不能在不对协议和服务器程序本身做任何改动的情况下，传递客户端的IP呢？最直接的方法应该就是，把L3的源IP改掉，没对协议进行任何改动，对上层完全透明。先来看看改了L3的source IP会出现什么问题：上图中的A是个L4负载均衡，Router会把来自Internet的客户端请求转发给A，A再根据策略转发到B、C或D。假设这时A选择了B，A把请求转发给B时，把L3的源IP改成了客户端的IP，那B收到数据包后，根据B系统上的路由表，回复的包会直接经 […]

Unix Like, 操作系统, 网络

Fix Ubuntu policy-based route with fwmark not work

近期发现Ubuntu基于ip rule add fwmark … lookup …所做的策略路由无法正常使用，而Debian正常。抓包的特征就是，出网数据包能应用到策略路由，也能抓到回应的数据包，但回应的数据包被内核丢弃，不会送达user space。而ip rule add from … lookup …则正常。查找资料得知是rp_filter的影响（见此：https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt），继而发现Ubuntu的/etc/sysctl.d是有 […]

Unix Like, 操作系统, 网络

QoS —— 交互式应用最低延迟，HTTP(S)、IMAP等常用服务优先，迅雷、P2P受限

前言使用迅雷全速下载时，其余网络应用的体验几乎约等于断网状态。全速下载时，迅雷并没有占用太多上行带宽，于路由器上观察上行速率，同样正常：可见全速下载时出现的现象，问题在于下行。迅雷全网搜索资源，这意味着会有许多来自不同地方的计算机，以高速率往我的计算机发来大量数据包。ISP处的队列早已被这些P2P数据包塞满，而SSH、网页等服务的数据包速率不高，根本不够P2P数据包竞争，这些数据包到达ISP处时，只能由于队列已满而被丢弃。其实这个问题，并没有什么好的解决办法，因为ISP处的队列我们没有权限控制。我们所能做的，只是控制P2P的速率，避免因ISP处队列满而使得数据包被丢弃 […]