Haproxy - настройка для FTP

Материал из support.qbpro.ru
Версия от 22:14, 11 сентября 2024; Vix (обсуждение | вклад) (Новая страница: «==НАСТРОЙКА== * Предварительно настроенный Vsftp сервер имеет следующие настройки: listen=YES listen_ipv6=NO anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES idle_session_timeout=300 data_connection_timeout=120 nopriv_user=...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

НАСТРОЙКА

  • Предварительно настроенный Vsftp сервер имеет следующие настройки:
listen=YES
listen_ipv6=NO
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
idle_session_timeout=300
data_connection_timeout=120
nopriv_user=ftp
ftpd_banner=Welcome.
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd

rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=NO

utf8_filesystem=YES

pasv_enable=YES
pasv_min_port=17000
pasv_max_port=17500

guest_enable=YES
guest_username=ftp
virtual_use_local_privs=YES
user_sub_token=$USER
local_root=/srv/ftp/$USER
hide_ids=YES
seccomp_sandbox=NO
allow_writeable_chroot=YES
max_clients=20
max_per_ip=3
user_config_dir=/etc/vsftpd/vsftpd_user_conf
pasv_address=*.*.*.* # Здесь обязательно указывается ip внешнего интерфейса с которого сделан проброс порта в NAT шлюза
  • На сервере Haproxy*
    • у нас кластер с keepalived, где входной ip 10.33.33.11, а выходной ip: 10.1.2.21 (нода1)
    • С учетом того, что сервер FTP является активным ip:10.1.2.5:

1. Вносим в /etc/haproxy/haproxy.conf:

...
 ##  - pubftp
frontend ftp-acl
    bind *:21,:17000-17500 name ftp
    mode tcp
    use_backend ftp_host
#
backend ftp_host
    option tcp-check
    server ftp.host.ru 10.1.2.5 check port 21
 ...

2. В правилах iptables вносим правила для обратного прохождения пакетов сервера ftp к клиенту:

iptables -t nat -A POSTROUTING -s 10.1.2.21 -o enp6s18:1 -j SNAT --to-source 10.33.33.11  /
-m comment --comment 'acl_for_active_ftp'
iptables -t nat -A PREROUTING -d 10.33.33.11/32 -i enp6s18:1 -p tcp -m tcp --dport 17000:17500 /
-j DNAT --to-destination 10.1.2.21 -m comment --comment 'acl2_for_active_ftp'

3. Для того, чтобы эти правила стартовали при запуске 1ноды Haproxy, добавляем это в виде скрипта в автозагрузку:

  • скрипт который добавляет правила:
/etc/scripts/startnat.sh
...
#!/bin/bash

function clearNat(){
iptables -t nat -F
iptables -t nat -X
}

function addRules(){
if [ $(iptables -L -nv -t nat|grep acl_for_active_ftp|wc -l) == "0" ]; then
 iptables -t nat -A POSTROUTING -s 10.1.2.21 -o enp6s18:1 -j SNAT --to-source 10.33.33.11 /
 -m comment --comment 'acl_for_active_ftp'
 iptables -t nat -A PREROUTING -d 10.33.33.11/32 -i enp6s18:1 -p tcp -m tcp --dport 17000:17500 /
 -j DNAT --to-destination 10.1.2.21 -m comment --comment 'acl2_for_active_ftp'
fi
}
clearNat;
addRules;
...
    • для запуска скрипта при старте вносим:
в /etc/rc.local
..
/etc/scripts/startnat.sh
..
в случае перезапуска сети:
в /etc/networks/interfaces
...
auto eth1
allow-hotplug eth1
...
post-up /etc/scripts/startnat.sh
...
  • все сервер Haproxy (нода1) готов, далее все повторить на второй ноде, только указать ее ip:10.1.2.22