3.5.3. Правила фильтрации сетевых пакетов
3.5.3. Правила фильтрации сетевых пакетов
Прежде чем приступить к созданию правил
iptables, рекомендуется ознакомиться с главой о метках межсетевых экранов (см. Раздел 3.4.1, «Присвоение меток межсетевого экрана»), где рассказывается об использовании многопортовых служб и проверке наличия правил фильтрации сетевых пакетов.
Ниже приведены правила, назначающие метку 21 трафику FTP. Чтобы эти правила работали корректно, перейдите к секции VIRTUAL SERVER программы Piranha и для виртуального сервера, использующего порт 21, в поле метки межсетевого экрана введите
21 (см. Раздел 4.6.1, «Подсекция VIRTUAL SERVER»).
3.5.3.1. Правила для активных соединений
Правила для активных соединений указывают ядру принимать и перенаправлять подключения, поступающие на внутренний плавающий IP-адрес с порта 20, который используется для передачи данных.
В следующем примере маршрутизатору LVS разрешается принимать соединения от реальных серверов, не находящихся под управлением IPVS.
/sbin/iptables -t nat -A POSTROUTING -p tcp -s n.n.n.0/24 --sport 20 -j MASQUERADE
Здесь
n.n.n надо заменить первыми тремя числами плавающего IP-адреса внутреннего сетевого интерфейса NAT, определенного в секции общих настроек программы Piranha.