2.4 使用iptables和ipchains(1)

#ipchains -A input -i eth0 -p tcp -s any/0 1024:65535 -d MY.NET.IP.ADDR 21 -j ACCEPT
#ipchains -A input -i eth0 -p tcp -s any/0 1024:65535 -d MY.NET.IP.ADDR 20 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d MY.NET.IP.ADDR --dport 21 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d MY.NET.IP.ADDR --dport 20 -j ACCEPT 

依赖于你的内核版本，要么你将使用ipchains要么使用iptables，只使用两个规则匹配你的实用程序。

让我们更进一步了解一下这两个iptables命令的语法：
-A INPUT

表明我们想向input过滤器添加一个新的规则。
-i eth0

只应用到eth0接口，如果你想一个input规则应用到所有连接到系统的接口，你可以将其留空（使用ipchains，当你为output链表创建规则时你可以指定input接口，但是在iptables下不再可能了，因为output链表只能应用到本地创建的数据包）。
-p tcp

这个规则应用到TCP协议（如果你计划阻止或接受基于一个端口号的数据包就需要）。
-s any/0 and --sport 1024:65535

这些参数表明源地址可以是任意地址，源端口可以是从1024到65535之间的任意端口，any后的0意味着我们不对ip地址应用子网掩码，通常，当你指定一个特定的ip地址时，你将需要象下面这样输入：
ALLOWED.NET.IP.ADDR/255.255.255.0
或
ALLOWED.NET.IP.ADDR/24

这里的ALLOWED.NET.IP.ADDR是一个ip地址，如209.100.100.3。

在这两个例子中，iptables命令屏蔽了ip地址前面作为地址网络部分的24位。

注意：我们将暂时跳过TCP/IP会话的细节，这里最重要的一个正常的入站TCP请求将到达一个特权端口（在/etc/services中定义的范围在1-1023之间的端口号），并要求你在一个非特权端口（范围在1024-65535之间的端口）发送一个应答。

-d MY.NET.IP.ADDR and --dport 21
这两个参数指定在数据包头请求的目标ip地址和目标端口号，用你eth0接口的ip地址替换这里的MY.NET.IP.ADDR，或如果你在-i选项处留空而且不担心数据包抵达哪个接口时，输入0.0.0.0（FTP同时请求端口20和21）。

-j ACCEPT
当一个数据包匹配到一条规则时，它丢掉这个链表（本例中的INPUT链表），无论你在这里为-j选项输入了什么，它将指定数据包下一步该怎么处理，如果一个数据包没有匹配到任何规则，本例中将应用默认的过滤器策略DENY或DROP。

被动FTP

仅为FTP提供了规则不允许被动FTP连接到服务器上的FTP服务，FTP是一个旧的协议，它只用于没有防火墙的情景，FTP服务器可以连回到FTP客户端以传输请求的数据，现在，大多数客户端都位于防火墙后面，这种情况就不再可能了，因此，FTP协议发布了一个新特性叫做被动FTP，它允许客户端在端口21上请求数据连接，它引起服务器监听来自客户端的入站数据连接（而不是象以前那样连回到客户端去），要使用被动FTP，你的FTP服务器必须有一条iptables规则允许它为这些被动的FTP数据连接监听非特权端口，使用iptables的规则如下：

#iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d MY.NET.IP.ADDR --dport 1024:65535 -j ACCEPT