iptables 的filter表的INPUT链的默认策略设为了DROP，其余的链均为ACCEPT。
该服务器即要作ftp服务器，也要连上别的ftp服务器。即是说要把源端口和目的端口都开放21才行：
iptables -A INPUT -p tcp –sport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
开了21端口就行了吗？不是的。先说说ftp协议。ftp协议是一个简单、保密性差（明码）的tcp协议，它的工作原理是客户端先连服务器端 的21端口，然后经过3步的握手以后建立了一条连接。要注意的是，这条连接只可以用来传输ftp的命令，只有这条连接的话是什么都传不了的，就算是用 “ls”命令来查看文件也不行。
建立了命令的连接以后，服务器端就要建立一条数据的连接。数据的连接又分为主动模式（port）和被动模式（passive）。ftp默认是被动 模式，主动和被动之间使用”pass”命令切换。主动模式通过20端口与客户端相连，而被动模式却使用1024以后的端口与客户端相连。由于1024以后 的端口是随机分配的，所以在被动模式下我们是不知道服务端是使用什么端口与客户端连接的。也就是说，我们是不知道iptables要开放什么端口。
开始我使用的是
iptables -A input -p tcp –sport 1024: –dport 1024: -j ACCEPT
来让ftp建立被动连接的。但觉得如果这样的话，那就等于把所以p2p的连接都开放了，不安全。
于是在CU上问人，终于找到了解决的方法:
1、加载模块。

防火墙的简介
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。

防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络的安全。
防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。
通过使用防火墙可以实现以下功能：可以保护易受攻击的服务；控制内外网之间网络系统的访问；集中管理内网的安全性，降低管理成本；提高网络的保密性和私有性；记录网络的使用状态，为安全规划和网络维护提供依据。(图1)

防火墙的分类
防火墙技术根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤防火墙和代理服务器两种类型。
防火墙的工作原理
1．包过滤防火墙工作原理（图2）

引言
时间过得好快呀，已经2012了,不管玛雅预言是真是假，日子还是那么的过。

博客
  在学校的时候我就有建立个人博客的想法，但一直都是这样的过，只是一个想法而已，我这个人容易忘记，一般想到什么就去做，要是不做的话基本就Forget了；一次无意间搜索到gae免费搭建博客，据说是免费使用Google的服务器，恰好当时我是一个google迷，凭这一点顺利的引起了我的兴趣，经过一阵的折腾，博客有了个雏形：使用micolog搭建的博客，用wolf这个主题，发表了一篇《Hello World》。就这样荒废了2个月，直到后面打算学习linux我才想到要建立一个博客来记录我的学习过程，于是狠心买域名然后到处去找喜欢的主题。。其间又为博客更换了域名。。。直到今年10月底，gae正式版本发布了，配额严重不够用的时候，而micolog作者转战apple，在b3log的呼唤下，手动的copy文章到b3log，转到了b3log，并把皮肤也一道扒过来了。
博客pr方面，记得去年google第一次更新的时候我的博客达到了pr1当时兴奋了一把，结果第二次更新的时候直接上3了当时在b3log群里面搞得好兴奋……结果不到一个星期又更新给俺降到了二。

在 linux 文件结构中，有一个很神奇的目录 —— /usr。之前一直没有怎么关注过它，反正程序都是安装在里边的，也没有什么值得追根溯源的东西。直到有一天 fedora 要简化整个文件系统体系，看到讨论才想到，usr 到底是什么的缩写呢，它又是怎么来的呢？