LXC内部的ip_conntrack_ftp

Question

• NAT后面的LXC容器上的ProFTPd实例
• LXC容器正在使用桥接网络。
• PassivePorts 60000 61000已在proftpd.conf中定义
• 运行容器的主机上加载的nf_nat_ftp和nf_conntrack_ftp
• 容器内的iptables包含-A输入-m conntrack -ctstate已建立，相关的-j接受-A输入tcp -dport 21 -m连接-ctstate新-j接受。

为什么只有当我显式地打开被动端口时Passive mode才能工作？

-A INPUT -p tcp -m tcp --dport 60000:61000 -j ACCEPT

？这不是应该由nf_conntrack_ftp助手模块自动管理吗？

Answer 1

我遇到了这样的问题:在安装了lxc和新版本的linux内核后，连接跟踪器帮助程序停止工作。然而，这不是lxc的问题，而是内核的问题，我可以通过添加

net.netfilter.nf_conntrack_helper=1

敬sysctl.conf。显然，在4.7之后更新的内核有更好的方式来配置帮助程序(可能使用它们会更好地回答这个问题)，因此net.netfilter.nf_conntrack_helper=0现在是默认的，参见这里。