3.5.3. ネットワークパケットフィルタルールの作成
FTP サービスの
iptables
ルールを割り当てる前に、マルチポートサービスおよび既存ネットワークパケットフィルタリングルールをチェックする技術に関して 「ファイアウォールマークの割り当て」 内の情報を再確認してください。
以下に示すのは、FTP トラフィックに同一ファイアウォールマークの 21 を割り当てるルールです。これらのルールが正しく機能するには、Piranha Configuration Tool の 仮想サーバー サブセクションを使用して ファイアーマーク フィールド内に値
21
を記入してポート 21 の仮想サーバーを設定する必要があります。詳細は 「VIRTUAL SERVER サブセクション」 を参照してください。
3.5.3.1. アクティブ接続のルール
アクティブ接続のルールは、カーネルに FTP データポートであるポート 20 上にある 内部 のフローティング IP アドレスへ届く接続を受け付けて転送するように指示します。
以下の
iptables
コマンドにより、LVS ルーターは IPVS が認識していない実サーバーからの外向けの接続を受け付けることが可能になります。
/sbin/iptables -t nat -A POSTROUTING -p tcp -s n.n.n.0/24 --sport 20 -j MASQUERADE
この
iptables
コマンドでは、n.n.n は Piranha Configuration Tool の グローバル設定 内で 定義されている NAT インターフェースの内部ネットワークインターフェース用のフローティング IP の最初の 三つの値で置き換える必要があります。