Postado originalmente por
AndrioPJ
Alguns servidores FTP usam a porta 21 apenas para iniciar a comunicação.
Logo após o cliente acessar o servidor, esse indica qual a porta será usada para comunicação (troca de dados).
Logo, não tem como você colocar para somente a porta 21 sair fora do balance, pois o Servidor FTP pode usar outra porta para troca de dados.
O jeito é colocar para todos os Servidores FTP saírem fora do balance.
Mas conhecer o IP de cada servidor FTP é um tanto complicado.
Pensando nisso, eu resolvi esse problema da seguinte forma.
Quando um cliente tentar acessar um Servidor FTP (porta 21), o Balance irá incluir por 4 horas o IP do Servidor FTP em uma lista.
add action=add-dst-to-address-list address-list=ftp_con address-list-timeout=4h chain=prerouting comment=FTP disabled=no dst-port=21 in-interface=Eth2-BL protocol=tcp
Pronto, agora já sabemos o IP do Servidor, basta colocar para esse IP sair fora do Balance.
add action=accept chain=prerouting disabled=no dst-address-list=ftp_con in-interface=Eth2-BL
OBS1: o que está em vermelho deve ser configurado conforme sua rede.
in-interface= saida do balance para sua rede Interna.
ftp fora do balance
Citação
