3.5.3. Erstellen von Netzwerkpaketfilterregeln

Bevor Sie iptables-Regeln für den FTP-Dienst erstellen, werfen Sie einen Blick auf die Informationen in Abschnitt 3.4.1, »Zuweisen von Firewall-Markierungen« über Multi-Port-Dienste und Techniken zur Prüfung der vorhandenen Netzwerkpaketfilterregeln.
Nachfolgend sehen Sie die Regeln, die dem FTP-Datenverkehr dieselbe Firewall-Markierung (21) zuweist. Damit diese Regeln ordnungsgemäß funktionieren, müssen Sie zudem auf dem Unterreiter VIRTUAL SERVER des Piranha-Konfigurationstools einen virtuellen Server für Port 21 mit dem Wert 21 im Feld Firewall Mark konfigurieren. Siehe Abschnitt 4.6.1, »Der Unterabschnitt VIRTUAL SERVER« für Einzelheiten.

3.5.3.1. Regeln für aktive Verbindungen

Die Regeln für aktive Verbindungen weisen den Kernel an, Verbindungen zur internen Floating-IP-Adresse auf Port 20 (dem FTP-Datenport) zu akzeptieren und weiterzuleiten.
Der folgende iptables-Befehl erlaubt es dem LVS-Router, ausgehende Verbindungen von den realen Servern zu akzeptieren, die IPVS unbekannt sind:
/sbin/iptables -t nat -A POSTROUTING -p tcp -s n.n.n.0/24 --sport 20 -j MASQUERADE
Ersetzen Sie n.n.n im obigen iptables-Befehl durch die ersten drei Werte der Floating-IP für die interne Netzwerkschnittstelle der NAT-Schnittstelle, wie auf dem Reiter GLOBAL SETTINGS im Piranha-Konfigurationstool definiert.