Помогите настроить FTP в LVS кластере.
Настраивал по редхатовскому мануалу, читал Linux Virtual Server FAQ, но настроить активный режим FTP так и не могу. С пассивным разобрался, добавив в настройки реальных FTP серверов диапазон пассивных портов и открыв эти порты на LVS маршрутизаторе, но проделать подобное с активным вариантом работы FTP не получается. При коннекте напрямую на сервер, где запущен FTP сервер (VsFTPD) соединение проходит нормально, но соединяясь через LVS роутер соединение долго висит, затем получаю пустую страницу.
При чём выяснил что проблема в фаерволе на LVS маршрутизаторе, т.к. при его отключении всё проходит нормаьлно. Вот только не пойму что именно нужно добавить в конфиг фаервола чтобы активный режим заработал как надо. Советы прописать правило маскарадинга не помогли.
И так, вот мой конфиг фаервола на LVS роутере:cat /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Minimal required rules
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Deleting bad TCP packets
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
## FTP
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 10000:20000 -j ACCEPT
## Reject all other connections
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Oct 5 10:41:13 2008
# Generated by iptables-save v1.3.5 on Sun Oct 5 10:41:13 2008
*nat
:PREROUTING ACCEPT [238392:28209771]
:POSTROUTING ACCEPT [5255:345677]
:OUTPUT ACCEPT [3646:270609]
### Эта строка присутствует т.к. машина так же является шлюзом для локальной сети.
### Комментироване этой строки результатов не принесло.
-A POSTROUTING -s 192.168.12.0/255.255.255.0 -d ! 192.168.12.0/255.255.255.0 -j SNAT --to-source <real IP>
COMMIT
На серверах с запущенными FTP фаервол выглядит следующим образом.
cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Minimal required rules
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Deleting bad TCP packets
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
## FTP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
## Reject all other connections
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
И в заключении конфиг LVS.
cat /etc/sysconfig/ha/lvs.cf
serial_no = 179
primary = 10.2.150.10
service = lvs
backup_active = 1
backup = 10.2.150.20
heartbeat = 1
heartbeat_port = 539
keepalive = 6
deadtime = 18
network = nat
nat_router = 192.168.12.254 bond0:0
nat_nmask = 255.255.255.0
debug_level = NONE
monitor_links = 1
virtual FTP {
active = 1
address = 10.2.150.11 bond0:2
vip_nmask = 255.255.255.0
port = 21
use_regex = 0
load_monitor = none
scheduler = lblcr
protocol = tcp
timeout = 6
reentry = 15
quiesce_server = 0
server cooper {
address = 192.168.12.9
active = 0
weight = 1
}
server dodge {
address = 192.168.12.10
active = 1
weight = 2
}
}
Заранее благодарен за ответы.