Product SiteDocumentation Site

3.5.3. Создание правил фильтра сетевых пакетов

Перед применением любых правил iptables, относящихся к сервису FTP, следует еще раз просмотреть информацию из раздела 3.4.1. Присвоение меток сетевого экрана, относящуюся к мультипортовым сервисам и методам проверки наличия существующих правил сетевого фильтра пакетов.
Ниже приведены правила, назначающие метку 21 FTP-трафику. Для корректной работы приведенных правил нужно также в разделе VIRTUAL SERVER Piranha Configuration Tool указать для виртуального сервера FTP значение 21 в поле ввода Firewall Mark. Детали приведены в 4.6.1, Подраздел VIRTUAL SERVER.

3.5.3.1. Правила iptables для активных подключений

Правила для активных подключений настраивают фильтр таким образом, чтобы подключения, приходящие на внутренний плавающий IP-адрес с 20 порта, принимались и передавались в Интернет.
Приведенная ниже команда iptables позволяет LVS-маршрутизатору принимать исходящие подключения от реальных серверов:
/sbin/iptables -t nat -A POSTROUTING -p tcp -s n.n.n.0/24 --sport 20 -j MASQUERADE
В приведенной выше команде iptables n.n.n нужно заменить первыми тремя значениями плавающего IP-адреса NAT-интерфейса, определенного в разделе GLOBAL SETTINGS Piranha Configuration Tool.