3.5.3.2. Reglas para conexiones pasivas
Las reglas para conexiones pasivas asignan la marca de cortafuegos apropiada para conexiones entrantes desde la Internet hasta la IP flotante para el servicio en un rango ancho de puertos — 10,000 a 20,000.
Aviso
Si limita el rango de puerto para conexiones pasivas, también debe configurar el servidor VSFTP a fin de que use el rango de puerto correspondiente. Para ello, agregue las siguientes líneas a
/etc/vsftpd.conf:
pasv_min_port=10000
pasv_max_port=20000
Al establecer
pasv_address para sobrescribir la dirección del servidor FTP real, no use la dirección del servidor, ya que es actualizada a la dirección IP virtual por LVS.
Para configurar otros servidores FTP, consulte la documentación respectiva.
Este rango debe ser lo suficientemente amplio para la mayoría de las situaciones; no obstante, puede aumentar este número para incluir todos los puertos inseguros
10000:20000 a 1024:65535 en los comandos de abajo.
Los siguientes comandos
iptables tienen el efecto de asignar la marca de cortafuegos 21 al tráfico dirigido a una IP flotante en los puertos apropiados. La marca de cortafuegos 21 es detectada por IPVS y reenviada correctamente:
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21
En los comandos
iptables, remplace n.n.n.n por la IP flotante para el servidor virtual FTP en la subsección VIRTUAL SERVER de Piranha Configuration Tool.
Aviso
Los comandos de arriba se efectúan inmediatamente, pero no persisten a través de reinicios del sistema. Para garantizar que los parámetros de filtro de paquetes de red sean restablecidos después del rearranque, consulte la Sección 3.6, “Guardado de parámetros de filtraje de paquetes de red”
Por último, asegúrese de que el servicio apropiado esté activado en el nivel de ejecución correcto. Para obtener más información, consulte la Sección 2.1, “Configuración de servicios en el enrutador LVS”.
