Red Hat Summit3.5.3.2. Règles pour les connexions passives
Les règles pour les connexions passives assignent la marque de pare-feu appropriée aux connexions entrantes provenant d'Internet vers l'adresse IP flottante pour le service sur une large étendue de ports — de 10,000 à 20,000.
Avertissement
Si vous limitez l'étendue des ports pour les connexions passives, vous devez également configurer le serveur VSFTP pour qu'il utilise une étendue de ports identique. Vous pouvez le faire en ajoutant les lignes suivantes dans
/etc/vsftpd.conf :
pasv_min_port=10000
pasv_max_port=20000
Vous devez également contrôler l'adresse que le serveur affiche au client pour les connexions FTP passives. Dans un système LVS routé avec NAT, ajoutez la ligne suivante dans
/etc/vsftpd.conf afin de remplacer l'adresse IP du serveur réel par l'adresse VIP, qui sera celle que le client verra suite à sa connexion. Par exemple :
pasv_address=n.n.n.n
Remplacez n.n.n.n par l'adresse VIP du système LVS.
Pour la configuration des autres serveurs FTP, consultez la documentation respective.
Cette plage devrait être assez large pour la plupart des situations ; cependant, vous pouvez augmenter ce nombre pour inclure tous les ports non sécurisés disponibles en changeant, dans les commandes suivantes,
10000:20000 par 1024:65535.
Les commandes
iptables suivantes ont pour effet d'assigner, à tout trafic destiné à l'adresse VIP sur les ports appropriés, une marque de pare-feu de 21, qui à son tour est reconnue par IPVS et retransmise de manière appropriée :
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21
Dans les commandes
iptables, n.n.n.n devrait être remplacé par l'adresse IP flottante pour le serveur virtuel FTP défini dans la sous-section VIRTUAL SERVER de l'Piranha Configuration Tool.
Avertissement
The commands above take effect immediately, but do not persist through a reboot of the system. To ensure network packet filter settings are restored after a reboot, see Section 3.6, « Enregistrer les paramètres de filtrage des paquets du réseau »
Finally, you need to be sure that the appropriate service is set to activate on the proper runlevels. For more on this, refer to Section 2.1, « Configuration des services sur les routeurs LVS ».
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}