Red Hat Summit3.5.3.2. Reglas para las conexiones pasivas
Las reglas para las conexiones pasivas asignan la marca d cortafuegos apropiada a conexiones entrantes desde internet al IP flotante para el servicio en una amplia gama de puertos — 10.000 a 20.000.
Aviso
Si está limitando el rango de puertos para las conexiones pasivas, debe configurar también el servidor VSFTP para utilizar un rango de puerto coincidente. Esto puede llevarse a cabo si se añaden las siguientes líneas a
/etc/vsftpd.conf:
pasv_min_port=10000
pasv_max_port=20000
Debe controlar también la dirección que el servidor muestra al cliente para las conexiones FTP pasivas. En un sistema LVS con enrutado NAT, añada la siguiente línea a
/etc/vsftpd.conf para sobrescribir la dirección IP del servidor real al VIP, la cual es la que el cliente ve tras la conexión. Por ejemplo:
pasv_address=n.n.n.n
Reemplace n.n.n.n con la dirección VIP del sistema LVS.
Para configuraciones de otros servidores FTP, consulte la documentación respectiva.
Este rango debe ser suficiente para la mayoría de casos; sin embargo, este número puede ser incrementado para incluir todos los puertos no seguros disponibles si se cambia
10000:20000 en el comando anterior a 1024:65535.
El siguiente comando de
iptables tiene el efecto de asignar una marca de cortafuegos de 21 a cualquier tráfico dirigido al IP flotante en los puertos apropiados. Esta marca es reconocida por IPVS y redirigida apropiadamente:
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21
En los comandos
iptables, n.n.n.n debe ser reemplazado con la IP flotante para el servidor FTP virtual definido en la subsección VIRTUAL SERVER de la Piranha Configuration Tool.
Aviso
The commands above take effect immediately, but do not persist through a reboot of the system. To ensure network packet filter settings are restored after a reboot, see Sección 3.6, “Cómo guardar los parámetros de filtro de paquetes de red”
Finally, you need to be sure that the appropriate service is set to activate on the proper runlevels. For more on this, refer to Sección 2.1, “Configuración de servicios en los enrutadores LVS”.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}