3.5.3.2. パッシブ接続のルール
パッシブ接続のルールでは、10,000 から 20,000 という広い範囲のポートにあるサービスのフローティング IP へのインターネットからの接続に適切なファイアウォールマークを割り当てます。
警告
パッシブ接続でのポート範囲を制限している場合、VSFTP サーバーを設定して一致するポート範囲を使用するように設定する必要があります。これは以下の行を
/etc/vsftpd.conf に追加することで可能です。
pasv_min_port=10000
pasv_max_port=20000
実際の FTP サーバーアドレスを上書きする
pasv_address の設定は使用しないでください。LVS により仮想 IP アドレスに更新されるためです。
他の FTP サーバーの設定については、個別のドキュメンテーションを参照してください。
この範囲はほとんどの状況では十分なものです。しかし、以下のコマンド内の
10000:20000 を 1024:65535 に変更することで、利用可能な非保護ポートすべてを含めることができます。
以下の
iptables コマンドは、適切なポート上のフローティング IP が送信先であるトラフィックをファイアウォールマーク 21 に割り当てることと同様の効果があります。これは、IPVS で 認識されて適切に転送されます。
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21
iptables コマンドでは、n.n.n.n は Piranha Configuration Tool の 仮想サーバー サブセクション内で定義されている FTP 仮想サーバーのフローティング IP で置き換える必要があります。
警告
上述のコマンドはすぐに効果を発揮しますが、システムを再起動すると維持されません。ネットワークパケットのフィルタ設定が再起動後に復元するようにするには 「ネットワークパケットフィルター設定の保存」 を参照してください。
最後に、適切なサービスが正しいランレベルでアクティベートするように確認してください。これに関する詳細情報は、「LVS ルーターでのサービス設定」 を参照してください。
