LXC 内部的 ip_conntrack_ftp

tag-icon tag-icon iptables ftp nat lxc proftpd
LXC 内部的 ip_conntrack_ftp
  • NAT 后面的 LXC 容器上的 ProFTPd 实例
  • LXC 容器使用桥接网络
  • PassivePorts 60000 61000已在 proftpd.conf 中定义
  • nf_nat_ftpnf_conntrack_ftp加载到主持人运行容器

  • 容器内的 iptables 包含

    -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT

为什么Passive mode只有当我明确打开被动端口时才有效

-A INPUT -p tcp -m tcp --dport 60000:61000 -j ACCEPT

? 这难道不应该由辅助模块自动管理吗nf_conntrack_ftp

答案1

我遇到了一个问题,在安装 lxc 和所需的新版本的 Linux 内核后,连接跟踪器助手停止工作。然而,这不是 lxc 的问题,而是内核的问题,我可以通过添加

net.netfilter.nf_conntrack_helper=1

到 sysctl.conf。显然 4.7 之后的较新内核有更好的方法配置帮助程序(可能使用它们是这个问题的更好的答案),因此 net.netfilter.nf_conntrack_helper=0 现在是默认值,请参阅这里

相关内容