LXC内のip_conntrack_ftp
- NATの背後にあるLXCコンテナ上のProFTPdインスタンス
- LXCコンテナはブリッジネットワークを使用しています
PassivePorts 60000 61000はproftpd.confで定義されていますnf_nat_ftpおよびnf_conntrack_ftpがロードされましたホストコンテナを実行していますコンテナ内のiptablesには
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT
パッシブポートを明示的に開いた場合にのみPassive modeが機能するのはなぜですか
-A INPUT -p tcp -m tcp --dport 60000:61000 -j ACCEPT
?これはnf_conntrack_ftpヘルパーモジュールによって自動的に管理されるべきではありませんか?
必要なLinuxカーネルの新しいバージョンと一緒にlxcをインストールした後、接続トラッカーヘルパーが機能しなくなるという問題が発生しました。ただし、これはlxcの問題ではなく、カーネルの問題であり、追加することで回避できました。
net.netfilter.nf_conntrack_helper=1
sysctl.confに。明らかに、4.7以降の新しいカーネルには より良い方法 ヘルパーを構成するための(そしておそらくそれらを使用することがこの質問へのより良い答えになるでしょう)ので、net.netfilter.nf_conntrack_helper = 0がデフォルトになりました。--を参照してください。 ここ 。