CentOS и ftp — перестал работать пасивный режим?

На днях, подключая сервер на центе к кактусу, я открывал порты через iptables, выполняя перезапуск этих самых таблиц. И вот недавно узнаю что у человека с того же времени перестал работать ftp.

Итак, симптомы неработающего пасивного режима: ftp клиент подключается, авторизация проходит успешно, но на чтении каталогов клиент стопорится и выбивается по таймауту.

Сначала я было подумал что я напартачил с iptables и как то перекрыл доступ к нужным портам, но вероятность этого очень малая так как я помню все что я делал тогда. В итоге, после непродолжительного гугления было найдено решение:

после перезапуска iptables нужно было выполнить команду:

modprobe ip_conntrack_ftp

Раньше оно работало видимо только потому, что сервер не перезагружался годами =) Ну и для того, что бы в следующий раз проблемма не возникала и перезапуск фаервола проходил нормально, нужно отредактировать файл /etc/sysconfig/iptables-config и найти строку, начинающуюся с IPTABLES_MODULES, после чего добавить там ip_conntrack_ftp (через запятую, если там что то уже есть. Или если там было пусто то получится так:

IPTABLES_MODULES="ip_conntrack_ftp"

P.S. забыл сказать, решение нашел здесь http://itblog.su/iptables-and-ftp-in-passive-mode.html

Cacti, centos, snmp и какие проблеммы могут возникнуть.

Недавно я подумал, почему бы не добавить в мониторинг и третий сервер из комплекса, с которым я работаю в мониторинг. Раньше я о нем как то замалчивал, потому что он крутится на centos + панелька директадмин и используется для всяких треш скриптов которые я вообще не  в силах контролировать и приводить в порядок. Раньше этот сервер был основным и там крутилось все, но постепенно я хочу оставить там только то, что не является особо критичным. А все важное вынести на кластер из двух серверов на freebsd.

Так вот, впринципе здесь было бы нечего описывать даже, так как процедура по сути та же что и для добавления удаленного сервера на freebsd. Но особенности таки есть.

В целом это только фаервол, который к примеру у меня (возможно это панель directadmin ставит свои дефолтные конфиги iptables), доступы к «левым» портам, в том числе и  161 (по умолчанию для snmp) были закрыты.

Как открыть нужные порты я нашел здесь http://shalb.com/ru/spae/spaedocs/firewallrules/. Но по результатам скажу что описанные там правила будут работать не для всех. Дело в том, что у меня в конце цепочки INPUT было правило, запрещающее доступ ко всем портам которые не попали под правила выше. И если делать так как там, то правила добавлялись в конце и никогда не срабатывали. Свои правила пишу здесь:

iptables -I INPUT --proto tcp --dport 161 -s 1.2.3.4 -j ACCEPT
iptables -I INPUT --proto udp --dport 161 -s 1.2.3.4 -j ACCEPT

Где вместо 1.2.3.4 вы пишите адрес сервера, на котором стоит cacti. Моя правка заключается в том, что я использую -I вместо -A — то есть вставку вместо добавления. Если после слова INPUT не указать номер, то по-умолчанию добавляется в начало и таким образом правило обрабатывается правильно.

После добавления правил не забудьте сделать

service iptables save

Иначе изменения пропадут при перезапуске.

P.S. еще, пока сразу не понял в чем дело, узнал у слона, что при подключении к кактусу сервера на впс centos может возникнуть проблемма в том, что по udp snmp не рабтает. В этом случае нужно попробовать подключить по tcp.

Как это сделано неплохо описано здесь: http://forums.cacti.net/viewtopic.php?t=15353

Краткое содержание:

на подключаемом сервере в snmpd.conf добавить:

agentaddress tcp:161

А в кактусе при добавлении хоста указать не просто IP, а запись вида tcp:IP (пример: tcp:1.2.3.4)

Так же оттуда полезно почерпнуть инфу о том, как сделать возможность мониторить диски по snmp, так как если не добавить этого в конфиг то  в кактусе не будет видно никаких дисков.

Upd: недавно почему то сбились настройки фаервола, делал по своей же инструкции  и обнаружил что парсер вордпресса сьел двойной минус и заменил его тыре. Исправил эту ошибку.

P.P.S. Не забывайте перезапускать (service snmpd restart) после внесения правок в snmpd.conf

P.P.P.S. С Новым Годом всех =)