Fritz Mundtart wrote:
Hi Sandy,
Sandy Drobic schrieb:
[...]
Ich hab noch was anderes herausgefunden: Wenn ich beim Einloggen vom Linux Client aus das FTP mit Aktiv-Mode starte (ftp -A <ip>) oder in der vsftpd.config den Parameter pasv_enable=NO setze, dann funktioniert das ganze ohne Zeitverzögerung!
Was sagt uns das? Spricht es eher für die DNS Theorie oder für etwas ganz anderes?
Eher dagegen, denn Aktiv oder Passiv hat nichts mit den Hostnamen zu tun, eher mit der Konfiguration von AppArmor und Konsorten. AppArmor? Davon hab ich schon mal hi und da gelesen. Was genau (oder ungenau ;-) ) ist das eigentlich? Wenn ich mich recht entsinne, dann ist es wohl eine Neuerung bei 10.1, oder? Wer an "Konsorten" gehört da noch dazu?
AppArmor ist seit 10.0 im Kernel integriert und beschränkt die Rechte eines Programms, wenn ein entsprechendes AppArmor-Profil angelegt ist. Seit 10.1 ist AppArmor als Standard aktiv, wenn der Benutzer dies nicht explizit abschaltet. Weitere "Spaßbremsen" könnten zum Beispiel die Firewall sein, oder rigide eingestellte /etc/permissions, oder eine chroot Konfiguration eines Serverdienstes.
Gibt es irgendwelche Hinweise in /var/log/messages /var/log/auth.log oder welchem Log du vsftpd zugeordnet hast? Hier mal die Infos einer Loginsession aus dem vsftpd.log (in messages, warn und zmd-* steht nix zu dieser Uhrzeit):
********************************* Sat Nov 4 01:52:50 2006 [pid 5921] [user] FTP response: Client "1.2.3.4", "331 Please specify the password." Sat Nov 4 01:52:56 2006 [pid 5921] [user] FTP command: Client "1.2.3.4", "PASS <password>" Sat Nov 4 02:52:56 2006 [pid 5920] [user] OK LOGIN: Client "1.2.3.4" Sat Nov 4 02:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "230 Login successful."
Okay, soweit in Ordnung, Client ist erfolgreich eingeloggt.
Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP command: Client "1.2.3.4", "SYST" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "215 UNIX Type: L8"
Client weiss jetzt, dass es sich um ein Linux-System handelt.
Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP command: Client "1.2.3.4", "FEAT"
Client fragt, welche Möglichkeiten/Befehle der Server zur Verfügung stellt:
Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "211-Features:" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", " EPRT??" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", " EPSV??" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", " MDTM??" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", " PASV??" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", " REST STREAM??" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", " SIZE??" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", " TVFS??" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "211 End"
Unter anderem also Extended Passiv und Passive Übertragung.
Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP command: Client "1.2.3.4", "PWD" Sat Nov 4 01:52:56 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "257 "/""
In welchem Verzeichnis bin ich eingeloggt...
Sat Nov 4 01:52:58 2006 [pid 5922] [user] FTP command: Client "1.2.3.4", "EPRT |1|192.168.0.10|49708|" Sat Nov 4 01:52:58 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "500 Illegal EPRT command."
Das hier ist schon interessanter. Der Client versucht mit, den Datenkanal auszuhandeln über das Extended Port Kommando EPRT. Dies schlägt fehl, obwohl ich hier keinen Grund dafür sehe, denn das Kommando sieht gültig aus.
Sat Nov 4 01:52:58 2006 [pid 5922] [user] FTP command: Client "1.2.3.4", "PORT 1,2,3,4,194,44" Sat Nov 4 01:52:58 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "200 PORT command successful. Consider using PASV."
Client fällt also zurück auf das normale PORT Kommando, welches erfolgreich den Datenkanal aushandelt.
Sat Nov 4 01:52:58 2006 [pid 5922] [user] FTP command: Client "1.2.3.4", "LIST" Sat Nov 4 01:53:58 2006 [pid 5922] [user] FTP response: Client "1.2.3.4", "425 Failed to establish connection."
Und hier haut die Verbindung daneben, der Server kann den Client nicht mehr erreichen.
*********************************
Sagt einem von Euch das etwas Näheres? (Abgesehen davon, daß der Rechner in der Zukunft arbeitet ;-) )
Wie ist deine Firewall eingestellt? Für einen Test kannst du ja mal die Firewall deaktivieren (in Yast) und neu starten. Wenn es danach plötzlich funktioniert, dann ist zumindest der Schuldige enttarnt. FTP ist ein notorisch übles Protokoll, was die Behandlung durch Firewalls betrifft. Da ein Steuer- und Datenkanal ausgehandelt werden können/müssen, ist die Zuordnung, welche Pakete zu einer FTP-Session gehören, nicht ganz trivial. Deshalb gibt es auch immer wieder Schwierigkeiten, wenn eine Firewall aktiv ist. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com