Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
3.5.3. 建立網路封包篩選規則
在為 FTP 指定任何
iptables
規則之前,請查閱〈節 3.4.1, “指定防火牆標記”〉中關於多連接埠服務、以及檢查現有網路封包篩選規則的技巧。
以下是指定同樣防火牆標記(21)給 FTP 交通的規則。要讓這些規則運作無誤,您也必須使用 Piranha Configuration Tool 的 VIRTUAL SERVER 一節,在「防火牆標記」欄位中,將虛擬伺服器的連接埠設為
21
。詳情請見〈節 4.6.1, “「虛擬伺服器」子區段”〉。
3.5.3.1. 主動連線的規則
主動連線的規則會通知 kernel 接受來自「內部」浮動 IP 位址的 20 號連接埠(FTP 資料埠)的連線,並加以轉送。
以下
iptables
指令能允許 LVS 路由器接受來自真實伺服器、且 IPVS 所不知道的向外連線:
/sbin/iptables -t nat -A POSTROUTING -p tcp -s n.n.n.0/24 --sport 20 -j MASQUERADE
在
iptables
指令中,請以定義於 Piranha Configuration Tool 的「GLOBAL SETTINGS」頁框中的 NAT 網路卡之內部網路介面的浮動 IP 之前三碼來替換 n.n.n 。