[linux-l] ftp lahmt
Mike Dornberger
Mike.Dornberger at gmx.de
So Nov 25 16:50:27 CET 2007
Hi,
On Sun, Nov 25, 2007 at 04:55:25PM +1100, Peter Ross wrote:
> On Sat, 24 Nov 2007, Boris Kirkorowicz wrote:
>
> > <http://www.kirk.de/files/snafoo-2007-11-24_1911-filtered.pcap> hochgeladen.
> >
> > >> Kann das vielleicht etwas mit dem passive mode zu tun haben?
> > > Mich wundert, daß direkt passive mode benutzt wird; schließlich hast
> > > Du den nicht angefordert.
>
> Das koennte der Defaultclient sein.
ich glaube, etwas vor langer Zeit gelesen zu haben, daß bei nahezu allen
FTP-Clients standardmäßig auf PASV umgestellt wurde, da die meisten Leute
hinter Firewalls/Routern/NAT (oder halt Windows-Firewalls) sitzen. Für die
Leute ohne solche Firewalls sollte das normalerweise ja auch keine Probleme
bereiten, es sei denn, sie haben einen "schlechten" Server erwischt...
> Zum Verstaendnis: Fuer Datenuebertragung wird bei FTP neben der immer
> offenen Kontrollverbindung eine zweite aufgemacht (Port 20, "ftp-Data")
Hm, benutzt den irgendein gängiger Server überhaupt (noch)? Ich habe noch
nie Daten über Port 20 gehen sehen, weder aktiv noch bei passiv.
> Ich sehe das folgende Problem nicht, aber weil es bei FTP haeufiger
> vorkommt, erwaehne ich es mal:
>
> Gelegentlich war der ident-Service das Problem (auth, Port 113). Manche
> Server wollen auf diesem port eine Antwort haben. Das tut identd.
Das "Problem" habe ich schon öfter bei IRC-Servern gesehen. Viele machen
eine ident-Abfrage und oft hängt es bei dem Verbindungsaufbau für einige
Zeit, wenn da nichts kommt. (Allerdings kann ich mich an keinen Fall mit FTP
erinnern, der ident gemacht hatte, gut, FTP mache ich auch nur sehr selten.
:) )
> Aber oft reicht es, wenn der Client bei Verbindungsaufbau via ICMP ein
> Reject meldet ("ich habe keinen identd") und der Server ists zufrieden.
Sagt die entsprechende RFC nicht eigentlich, da hat ein TCP-Reset zu kommen,
wenn auf dem (TCP-)Port nichts läuft? Jedenfalls ist das daß, was in
entsprechenden Howtos udgl. gesagt wird: iptables -A INPUT -p tcp --dport
ident -j REJECT --reject-with tcp-reset
Ich hatte das mal probiert und ohne den Schalter --reject-with tcp-reset
ging das Login auf den IRC-Servern nicht schneller.
Gruß,
Mike
Mehr Informationen über die Mailingliste linux-l