確認事項として次のものがあげられた。

/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
以上のモジュールが組み込まれているか？

kernelのオプションで、

iptables の設定で
iptables -A myrule -p tcp --dport 20 -j ACCEPT
iptables -A myrule -p tcp --sport 20 -j ACCEPT
iptables -A myrule -p tcp --dport 21 -j ACCEPT
iptables -A myrule -p tcp --sport 21 -j ACCEPT
上記の設定になっているか？

--sport<port> IPパケットの送信元ポートを指定する
--dport<port> IPパケットの送信先ポートを指定する

FW側からFTPが使えない症状として
iptables -A myrule -p tcp -m multiport --dport 20,21 となっていて送信元ポートのみしか指定されていなかった為、リストの取得(NLST)が出来なかったと思われる。






iptables -A myrule -i eth1 -s 192.168.1.0/24 -j ACCEPT
上記のCIDR表記のアドレス範囲がきちんと合っているかも確かめておきたい。
この場合、ネットワーク部が２４ビット　ホスト部が８ビットである。

192.168.1.0〜192.168.1.255 までの範囲をさすことになる。
ホスト部が８ビットということは、２５５通りの表記が出来るということである。

---

FW側からFTPが使えない症状 back   2003/12/7 written Komuro