futuremix

CentOS5.x 環境で vsftpd で FTP サーバを構築していました。ファイアウォールに iptables を使用しています。

これまで、iptables でファイアウォールを構築している環境下で PASV モードの FTP を許可するには、次のようにしていました。

# /etc/sysconifg/iptables
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

# /etc/sysconifg/iptables-config
IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp ip_nat_ftp"

これで、PASV モードで待ち受けするポートを iptables が動的に開放してくれます。

しかし、CentOS 5.8 のカーネルにアップデートしたところ、PASV モードで FTP アクセスできなくなりました。

これは0005135: After upgrade to 5.7 the ip_nat_ftp module breaks passive ftp connections – CentOS Bug Tracker によると CentOS5.7 でのカーネルのバグで、CentOS5.8 でも解決していないとのこと。

回避策としては、iptables-config ファイルで ip_nat_ftp を削除すればよいようです。

# /etc/sysconifg/iptables-config
IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp"

のようにして iptables を再起動することで、PASV モードでの接続ができるようになりました。

2012年5月2日 追記

5月1日にリリースされた vsftpd-2.0.5-24.el5_8.1 でも、まだこの問題は解決していません。