3.5.3.2. Правила для пассивных соединений

3.5.3.2. Правила для пассивных соединений

Правила для пассивных соединений назначают метку подключениям из Интернета, поступающим на плавающий IP-адрес службы через порты с номерами в диапазоне от 10000 до 20000.

Предупреждение

При ограничении диапазона портов для пассивных подключений надо дополнительно настроить этот же диапазон для сервера VSFTP. Для этого в конец файла /etc/vsftpd.conf нужно добавить:
pasv_min_port=10000
pasv_max_port=20000
Также необходимо откорректировать адрес сервера, предоставляемый клиенту для пассивного подключения. При организации распределения нагрузки с использованием маршрутизации NAT следующая строка заменит реальный адрес сервера на виртуальный, который и будет доступен клиенту.
pasv_address=n.n.n.n
Замените n.n.n.n виртуальным IP-адресом системы LVS.
За информацией о настройке других серверов FTP обратитесь к соответствующей документации.
Диапазон должен быть достаточно широким. Если в дальнейшем понадобится его увеличить с целью включения всех незащищенных портов, в приведенных ниже командах измените 10000:20000 на 1024:65535.
Следующие команды позволяют присвоить пакетам, поступающим через соответствующие порты на заданный виртуальный адрес, метку 21, которую распознает IPVS, после чего пакеты будут перенаправлены.
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 21 -j MARK --set-mark 21
/sbin/iptables -t mangle -A PREROUTING -p tcp -d n.n.n.n/32 --dport 10000:20000 -j MARK --set-mark 21
В этих примерах следует заменить n.n.n.n плавающим адресом виртуального сервера FTP, заданного в секции серверов программы Piranha.

Предупреждение

Приведенные команды вступают в силу сразу, но результат их работы не сохранится после перезагрузки системы. Раздел 3.6, «Сохранение настроек фильтрации пакетов» содержит информацию о восстановлении настроек после перезагрузки.
Наконец, надо убедиться, что запуск служб осуществляется на корректных уровнях (см. Раздел 2.1, «Настройка служб на маршрутизаторах LVS»).