iptables端口映射和vsftp安全检查425Security的解决

128.30.14.221为公网IP，128.30.14.233为私网IP，正常的Web服务器架设在233上， 实验目的：在221上开一个WEB端口88映射到233的80上

-------映射Web port------

service iptables stop
iptables -X
echo 1 >/proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
iptables -t nat -A PREROUTING -d 128.30.14.221 -p tcp -m tcp --dport 88 -j DNAT --to-destination 128.30.14.233:80
iptables -t nat -A POSTROUTING -d 128.30.14.233 -p tcp --dport 80 -j MASQUERADE
service iptables save
service iptables start

打开浏览器输入 http://128.30.14.221:88 网页显示正常。

--------映射Ftp port -------

128.30.14.221为公网IP，128.30.14.233为私网IP，正常的Ftp务器架设在233上， 实验目的：在221上开一个端口88映射到233的Ftp端口21上

在221上运行script:

service iptables stop
iptables -X
echo 1 >/proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat

iptables -t nat -A PREROUTING -d 128.30.14.221 -p tcp -m tcp --dport 88 -j DNAT --to-destination 128.30.14.233:21
iptables -t nat -A POSTROUTING -d 128.30.14.233 -p tcp --dport 21 -j MASQUERADE
service iptables save
service iptables start

ftp或CuteFtp连接 128.30.14.221:88时，记得用PASV被动模式，但还是会遇到425 Security错误，这时候需要在233服务器上运行脚本：

/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

再重试，一切正常。

iptables 端口映射和vsftp 安全检查425 Security的解决