急问，外网的机器连内网的FTP，连上了，但是不能执行ls那些命令，无法建立数据socket

麻仓叶

先用了这个iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 21 -j DNAT --to-destination 172.16.255.2:21
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 20 -j DNAT --to-destination 172.16.255.2:20
是不是还要加条外出的路由

Snoopy

20端口还需要一条对外的，久前用过，现在iptables规则有点忘忘，

麻仓叶

ding

faint

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to 172.16.255.2:21
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -d $FW_IP --dport 21 -j DNAT --to 172.16.255.2:21
iptables -A FORWARD -p tcp -d 172.16.255.2 --dport 21 -m state --state NEW -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.16.255.0/24 -d 172.16.255.2 -p tcp -m tcp --dport 21 -j SNAT --to $FW_IP

chgtg

楼上的兄弟，如果不是访问内部的FTP，而是外网通过服务器访问别的FTP，就取前两行设置，行不行呀？
就是说，一台IP是1.2.3.4的机器是校园网的地址,一个非校园网的IP一般情况是不能访问校园网的FTP服务器的。如果用前两行设置，是不是就可以使非校园网的IP可以访问校园网的FTP服务器了？