Red Hat Summit3.5.3.2. Regras para Conexões Passivas
As regras para conexões passivas determinam a marca firewall apropriada para conexões vindas da Internet ao IP flutuante do serviço de uma grande variedade de portais —10,000 a 20,000.
Atenção
Caso você esteja limitando o alcance do portal para uma conexão passiva, você deverá configurar o servidor VSFTP para usar um alcance do portal combinado. Isto pode ser perfeito adicionando as seguintes linhas ao
/etc/vsftpd.conf:
pasv_min_port=10000
pasv_max_port=20000
Você deverá também controlar o endereço em que o servidor exibe ao cliente nas conexões FTP passivas. Num sistema LVS de roteamento NAT, adicione a seguinte linha
/etc/vsftpd.conf para ativar o endereço IP do servidor real ao VIP, do qual é o que o cliente vê na conexão. Por exemplo:
pasv_address=n.n.n.n
Substitua o n.n.n.n com o endereço VIP do sistema LVS.
Para configuração de outros serviços FTP, consulte a documentação respectiva.
Este alcance deve ser grande o suficiente para a maioria das situações, no entanto você pode aumentar este número para incluir toda a disponibilidade de portais não segurados alterando
10000:20000 nos comandos abaixo para 1024:65535.
Os comandos seguintes
iptables possuem o efeito net de designar qualquer tráfego endereçado ao IP flutuante nos portais apropriados da marca firewall de 21, da qual é em troca reconhecida pelo IPVS e enviada apropriadamente:
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21
Nos comandos
iptables, o n.n.n.n deve ser substituído pelo IP flutuante para o servidor virtual FTP na subseção do SERVIDOR VIRTUAL da Piranha Configuration Tool.
Atenção
The commands above take effect immediately, but do not persist through a reboot of the system. To ensure network packet filter settings are restored after a reboot, see Seção 3.6, “Salvando as Configurações do Filtro do Pacote da Rede”
Finally, you need to be sure that the appropriate service is set to activate on the proper runlevels. For more on this, refer to Seção 2.1, “Serviços de Configuração nos Roteadores LVS”.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}