iptables开放ftp小记

　　　起初听同事在服务器上搞ftp，起初说ftp只能登录，不能发数据，后来又听说好了，询问后，听说只开了21端口，而且用的被动模式，自己觉得很纳闷，稍微细心点的，都知道，ftp被动模式不可能只开21端口的，而且又得知没有加载防火墙的ftp模块，不由的想弄个究竟。

　　　用nmap扫了一下，发现，服务器上的1w一下在用的大小端口都在对外，赶紧告知，并要来了ssh帐号密码，上去看个究竟，发现防火墙策略都ok，只开放了21端口、ssh的登录端口，只是默认策略是ACCEPT，将默认策略关闭为DROP后，发现一切正常，但是奇怪，为什么以前的很多centos5.5的服务器默认策略也都是ACCEPT，为什么这台换成6.3，就不行了？难道是新版本的防火墙默认策略不同？

　　　打开虚拟机，开始测试，使用自带的防火墙规则，并且使用ACCEPT默认策略，添加相同的服务，开启相同的端口，使用nmap进行扫描，nmap -PN a.b.c.d，发现，一切正常啊，只有防火墙开启的端口才会被扫描出来，为什么会这样？

　　同时打开测试机的iptables文件，和服务器上进行对比，发现，少了一条：

-A INPUT -j REJECT --reject-with icmp-host-prohibited

　　　询问后发现，开始没办法连，他删除了这条，然后就ok了……我自己本身对系统默认自带的防火墙规则，也没有仔细看过，今天遇到这事儿，也算是学习了

　　其实这条策略，充当了iptables的默认策略，将所有不匹配的策略，进行拦截，并发送icmp-host-prohibited回执。

　　弄清楚原因后，在服务器上修改了默认策略为DROP，再用nmap扫描，端口开放上正常了，但是又有新问题，ftp使用的是被动模式，没办法进行连接，这就好办了，添加上模块，这才算完工。