Red Hat Summit3.5.3.2. Regeln für passive Verbindungen
Die Regeln für passive Verbindungen weisen die richtige Firewall-Markierung für Verbindungen zu, die vom Internet an die Floating-IP für den Dienst auf einem großen Bereich von Ports (10.000 bis 20.000) gehen.
Warnung
Falls Sie den Portbereich für passive Verbindungen einschränken, müssen Sie auch den VSFTP-Server zur Verwendung desselben Portbereichs konfigurieren. Sie erreichen dies, indem Sie die folgenden Zeilen zur
/etc/vsftpd.conf hinzufügen:
pasv_min_port=10000
pasv_max_port=20000
Die Option
pasv_address zum Überschreiben der realen FTP-Serveradresse sollte nicht verwendet werden, da sie von LVS auf die virtuelle IP-Adresse aktualisiert wird.
Weitere Informationen über die Konfiguration von anderen FTP-Servern finden Sie in der entsprechenden Dokumentation.
Dieser Bereich sollte für die meisten Anwendungsfälle groß genug sein; bei Bedarf können Sie ihn jedoch vergrößern, um alle verfügbaren nicht sicheren Ports einzubeziehen, indem Sie
10000:20000 in den nachfolgenden Befehlen auf 1024:65535 ändern.
Diese folgenden
iptables-Befehle weisen effektiv jeglichem Datenverkehr, der an die Floating-IP auf den entsprechenden Ports gerichtet ist, die Firewall-Markierung 21 zu, die anschließend von IPVS erkannt und entsprechend weitergeleitet wird:
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21
Ersetzen Sie in den
iptables-Befehlen n.n.n.n durch die Floating-IP für den virtuellen FTP-Server, der in dem Unterbereich VIRTUAL SERVER im Piranha-Konfigurationstool definiert ist.
Warnung
Die obigen Befehle werden sofort wirksam, überdauern jedoch keinen Neustart des Systems. Um sicherzugehen, dass die Einstellungen des Netzwerkpaketfilters nach einem Neustart wiederhergestellt werden, folgen Sie den Anweisungen in Abschnitt 3.6, »Speichern der Netzwerkpaketfiltereinstellungen«
Zu guter Letzt sollten Sie sicherstellen, dass der gewünschte Dienst auf den richtigen Runlevels aktiviert ist. Weitere Informationen darüber finden Sie in Abschnitt 2.1, »Konfigurieren von Diensten auf dem LVS-Router«.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}