iptables,haproxy转发ftp(21端口)

iptables:

http://blog.csdn.net/niejicai/article/details/50275367

haproxy:

配置文件

http://blog.csdn.net/xuyouzheng/article/details/9818743

原始的haproxy配置

最后使用的haproxy配置

vim /etc/vsftpd/vsftpd.conf

域名模式,可以支持多个HAproxy同时访问，推荐

pasv_enable=YES                           #允许PASV模式

pasv_min_port=10000                       #最小端口

pasv_max_port=10250                       #最大端口

pasv_addr_resolve=YES                     #允许DNS解析

pasv_address=ftp.upload.net   

IP模式，只支持一个Haproxy访问

pasv_enable=YES                           #允许PASV模式

pasv_min_port=10000                       #最小端口

pasv_max_port=10250                       #最大端口

pasv_address=1.1.1.1                      #此处配置为haproxy的ip地址

haproxy日志配置 + rsyslog

http://www.ttlsa.com/linux/haproxy-log-configuration-syslog/

使用haproxy的ACL封禁IP

acl invalid_src src 0.0.0.0/7 224.0.0.0/3

acl invalid_src src_port 0:1023

acl local_dst hdr(host) -i localhost

block if invalid_src || local_dst

用acl定义一些规则，而用(block|use_backend)指定满足这些规则怎么做，我们当然选择block！

上述这段配置可以位于如下section

keyword                 defaults   frontend   listen    backend

----------------------+----------+----------+---------+---------

acl                         -          X         X         X

或者

backend webserver   option http-request 访问控制 

排错

tcpdump -i eth0 -vnn dst host 172.16.1.122