一、當本地服務器爲ftp服務器時,這樣設置iptables相對較爲簡單,即開啓tcp下的21和20端口安全
iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT服務器
iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPTtcp
二、可是當本地服務器爲ftp的客戶端時一樣設置iptables規則則相對麻煩,ftp默認是被動模式鏈接,即數據鏈接時是以1024以上的端口進行鏈接的,這樣就要開啓一個1024以上的端口ide
iptables -A input -p tcp --sport 1024: --dport 1024: -j ACCEPTspa
若是這樣就等於開放1024以上的端口了,確是不夠安全ip
三、其實能夠利用加模塊的方式進行設置:input
加上如下三個模塊:it
modpobe ip_nat_ftp
modpobe ip_conntrack
modpobe ip_conntrack_ftptable
再加上如下一條規則:class
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ##意思是說容許本機發出的數據包返回本機
四、下面是一些經常使用到的規則
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT ##容許全部ip訪問本地80端口
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT ##容許從80端口進入本地的數據出去
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT ##本機訪問本機,這條規則常常用到
iptables -A INPUT -p icmp -j ACCEPT ## 這條icmp規則