ip_conntrack_ftp dentro do LXC

Question

ip_conntrack_ftp dentro do LXC

#1 resposta do (1 votos)

1

Instância ProFTPd em um contêiner LXC atrás de NAT
O contêiner LXC está usando rede em ponte
PassivePorts 60000 61000 foi definido em proftpd.conf
nf_nat_ftp e nf_conntrack_ftp carregados no host executando o contêiner

iptables dentro do contêiner contém

-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT

Por que o Passive mode só funciona quando eu abro portas passivas explicitamente com

-A INPUT -p tcp -m tcp --dport 60000:61000 -j ACCEPT

Isso não deveria ser gerenciado automaticamente pelo módulo de ajuda nf_conntrack_ftp ?

iptables lxc ftp nat proftpd

por S19N 30.12.2016 / 15:30

1 resposta

Tags iptables lxc ftp nat proftpd

Como redirecionar uma URL que tenha espaço nela O que significa essa entrada “smtp_stream_setup” no meu log de postagem posterior?

score 1 · Answer 1

Eu experimentei o problema que depois de instalar o lxc junto com uma nova versão do kernel do Linux necessário, os ajudantes do rastreador de conexão pararam de funcionar. Isso, no entanto, não era um problema do lxc, mas um problema do kernel e eu poderia contorná-lo adicionando

net.netfilter.nf_conntrack_helper=1

para sysctl.conf. Kernels aparentemente mais recentes depois de 4.7 têm melhores maneiras de configurar os helpers (e provavelmente usá-los seria uma resposta melhor para esta questão) e, portanto, net.netfilter.nf_conntrack_helper = 0 é o padrão agora, veja aqui .