Andre Tann wrote:
Servus Sandy,
Sandy Drobic, Freitag, 8. Dezember 2006 18:18:
Sehr seltsam. Hast du mal versucht. ftp lokal auf dem Server zu verwenden, um auszuschließen, dass es ein Firewall-Problem ist?
Habe ich gemacht, und es hat funktioniert. Nunmehr habe ich die SuSE Firewall außer Betrieb genommen, und ein eigenes Regelwerk erstellt. Und siehe: ftp funktioniert problemlos. Ich habe mir nicht die Mühe gemacht herauszufinden, warum das SuSE-Ding nicht ordentlich gearbeitet hat. Aber ganz offensichtlich waren die SuSE-Regeln irgendwie ungeeignet für ftp.
Inzwischen habe ich mitbekommen, dass die Suse-Firewall die ftp-Module von iptables manchmal nicht mitlädt. Bei mir scheint es drin zu sein: /sbin/SuSEfirewall2: [...] function set_basic_rules() { load_module ip_tables ip_conntrack ip_conntrack_ftp ip_nat_ftp ip6table_filter ip6table_mangle
ls_recurse_enable=YES Das würde ich mir noch überlegen. User brauchen eigentlich nur das aktuelle Verzeichnis.
Naja, so groß ist das DoS-Risiko auch nicht, denke ich. Jedenfalls schnarcht mein System mit einer Load von 0.1 dahin. Sollte sich das mal ändern, denke ich über eine Änderung dieses Parameters nach.
Wenn irgendjemand sein Cache-Verzeichnis vom Internet Explorer oder Mozilla mal über FTP sichert, kann das doch stören, wenn andere Dienste auf dem Server laufen und dann rekursiv lange Verzeichnisse ausgelesen werden.
anonymous_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES Was sollen die anon_ Einträge bewirken?
Wie meinst Du das?
...enable setze ich auf Yes, weil ich anonymes ftp zulassen will. ...word_readable_only setze ich auf Yes, weil meine umask so eingestellt ist, daß dieses Bit standardmäßig nicht gesetzt ist. D.h. ich kann nicht versehentlich eine Datei für anonymous ftp freigeben, sondern muß explizit dieses Bit setzen. ...upload_enable setze ich auf Yes, weil ich will, daß mir alle möglichen Leute Dateien auf den ftp-Server werfen können. ...mkdir_write_enable ist aus demselben Grund notwendig.
Wo ist das Problem?
Ich wollte nur sichergehen, dass die Auswirkungen wirklich so gewünscht sind. Mein Server zum Beispiel ist fast genau entgegengesetzt konfiguriert, kein anonymer Zugriff und nur eine definierte Liste von Usern, die einloggen dürfen und dort auch nur Download mit einer Ausnahme.
Wenn die lokale Verbindung funktioniert, dann würde ich doch auf die Firewall tippen.
Wie gesagt, richtig getippt. Komischer Effekt ist das mit der Verzögerung aber schon.
Shit happens. Kannst du mal kontrollieren, welche ftp-Module bei dir in /sbin/SuSEfirewall2 geladen werden? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org