3.5.3. Creación de reglas de filtraje de paquetes de red
Antes de asignar cualquier regla
iptables al servicio FTP, revise la información en la Sección 3.4.1, “Asignación de marcas de cortafuegos” relacionada con servicios multipuertos y técnicas para verificar las reglas de filtraje de paquetes existentes.
A continuación se presentan las reglas que asignan la misma marca de cortafuegos, 21, al tráfico FTP . A fin de que estas reglas funcionen adecuadamente, también debe ir a la subsección VIRTUAL SERVER de Piranha Configuration Tool para configurar un servidor virtual para puerto 21 con un valor de
21 en el campo Firewall Mark. Si desea obtener más información, consulte la Sección 4.6.1, “La subsección VIRTUAL SERVER”.
3.5.3.1. Reglas para conexiones activas
Las reglas para conexiones activas le indican al kernel que acepte las conexiones de reenvío que llegan a la dirección IP interna flotante en el puerto 20 — el puerto de datos FTP.
El siguiente comando
iptables permite al enrutador LVS aceptar conexiones salientes de servidores reales que IPVS desconoce:
/sbin/iptables -t nat -A POSTROUTING -p tcp -s n.n.n.0/24 --sport 20 -j MASQUERADE
En el comando
iptables, remplace n.n.n por los primeros tres valores para IP flotante para que la interfaz de red interna de la interfaz NAT definida en el panel de GLOBAL SETTINGS de Piranha Configuration Tool.
