Server Support Forum


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 06.05.2004, 20:43
djrick djrick ist offline
Registered User
 
Registriert seit: 11.2003
Beiträge: 7.472
FTP Server Connect Dauert über 30sek

Viele die einen Router besitzen kennen das Problem:
Seit neustem wollen die ftpDs eine Ident Respsone vom Clienten. Viele die einen Router besitzen können aber nicht zu jedem Clienten den Port 113 fowarden.
Nun kann man entweder den FTPd auf eine Version downgraden die noch keine Ident abfrage verlangt oder man gibt auf der Shell des Servers als 'root":

iptables -A OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset

ein. Das setzt die Anfrage auf Port 113 Serverseitig zurrück. Damit kann allerdings der Server auch keine Anfragen auf Port 113 mehr für andere Programme verschicken. (Beispielsweise IRCd)
Mit Zitat antworten

  #2  
Alt 07.05.2004, 14:08
Benutzerbild von Cyberchriss
Cyberchriss Cyberchriss ist offline
Registered User
 
Registriert seit: 04.2004
Ort: Mainz
Beiträge: 115
hier ein kleines IPTABLES-Script, welches man als init-script einbinden kann.


#!/bin/bash
# den Pfad zu den iptables hier eintragen
IPT=/sbin/iptables

case "$1" in
start)
echo "führe iptables.sh aus..."
# alle iptables-rules löschen
$IPT -F
# ident Abfrage auf Port 113 zurückweisen
$IPT -A OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset
echo "iptables geladen!"
;;
stop)
$IPT -F
echo "iptables gelöscht!"
;;
status)
echo "iptables Status:"
$IPT -L
$IPT -L -n -v
;;
*)
echo "USAGE: $0 (start|stop|status)"
;;
esac
exit
Mit Zitat antworten
  #3  
Alt 07.06.2004, 13:02
Benutzerbild von TTRCmedia
TTRCmedia TTRCmedia ist offline
Registered User
 
Registriert seit: 06.2004
Ort: Hannover
Beiträge: 76
TTRCmedia eine Nachricht über ICQ schicken
Zitat:
Zitat von djrick
Das setzt die Anfrage auf Port 113 Serverseitig zurrück. Damit kann allerdings der Server auch keine Anfragen auf Port 113 mehr für andere Programme verschicken. (Beispielsweise IRCd)
Aus diesem Grund: Hat jemand zufälliger Weise herausgefunden, ob sich das Ident-Timeout des ProFTPd beeinflussen lässt? Wäre schön wenn man´s runtersetzen könnte auf nen paar Sekunden. Da der ProFTPd im xinetd-Mode ja die Direktiven für Ident- und DNS-Lookups in seiner Konfig nicht akzeptiert und man ihn eventuell ja auch nicht unbedingt als Standalone laufen haben möchte...
__________________
Grüßle,

Danyel Meyer
TTRCmedia - Digital Publishing
Mit Zitat antworten
  #4  
Alt 07.06.2004, 15:54
djrick djrick ist offline
Registered User
 
Registriert seit: 11.2003
Beiträge: 7.472
Das war/ist ja eben unser aller Problem:
Wir wollen kein Standalone wegen den knappen Resourcen auf einem Vserver. Wenn er im Standalone läuft läßt sich alles prima mit der *.conf anpassen aber im XIdentd Mode leider nicht. Bis jetzt habe ich auch noch keinen Weg gefunden es anders zu 'beeinflussen' als mit iptables.
Allerdings muss ich sagen dass ich bis jetzt auch noch keine Erfahrungen gemacht hab, wo ich sagen müsste "Scheisse jetzt brauch ich den Port 113"
Mit Zitat antworten
  #5  
Alt 04.07.2004, 18:22
SuperMario SuperMario ist offline
Registered User
 
Registriert seit: 06.2004
Beiträge: 46
Zitat:
Zitat von djrick
Viele die einen Router besitzen kennen das Problem:
Seit neustem wollen die ftpDs eine Ident Respsone vom Clienten. Viele die einen Router besitzen können aber nicht zu jedem Clienten den Port 113 fowarden.
Nun kann man entweder den FTPd auf eine Version downgraden die noch keine Ident abfrage verlangt oder man gibt auf der Shell des Servers als 'root":

iptables -A OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset

ein. Das setzt die Anfrage auf Port 113 Serverseitig zurrück. Damit kann allerdings der Server auch keine Anfragen auf Port 113 mehr für andere Programme verschicken. (Beispielsweise IRCd)
Vielen dank, werde ich gleich ausprobieren!
Ich kenn mich mit SSH überhaupt net aus, deswegen würde ich dich bitten, für den Fall der Fälle, auch einen Befehl zu Posten der das ganze rückgängig macht. Danke im vorraus!
Mit Zitat antworten
  #6  
Alt 04.07.2004, 18:55
djrick djrick ist offline
Registered User
 
Registriert seit: 11.2003
Beiträge: 7.472
Zitat:
Zitat von SuperMario
Ich kenn mich mit SSH überhaupt net aus, deswegen würde ich dich bitten, für den Fall der Fälle, auch einen Befehl zu Posten der das ganze rückgängig macht
Als root per SSH einloggen und das eintippen:

iptables -F

gefolgt von der 'Enter' Taste natürlich...Dannach ist die Regel wieder entfernt und es steht wieder so wie am anfang.
Mit Zitat antworten
  #7  
Alt 04.07.2004, 20:33
Benutzerbild von miko93
miko93 miko93 ist offline
Registered User
 
Registriert seit: 05.2004
Ort: Regensburg
Beiträge: 312
Zitat:
...welches man als init-script einbinden kann.
Äh, wie ? In init.d anlegen und chmod +rwx filename ? Wenn ich das Script manuell aufrufe, kommt der "usage Hinweis". Also wird es so wohl nicht gehen, oder ?
Müsste es in init.d mit dem Zusatz "start" anlegen... aber wie ?
__________________
www.mikoweb.de | Netdirekt SP733-150 (Sarge)
Mit Zitat antworten
  #8  
Alt 05.07.2004, 11:31
SuperMario SuperMario ist offline
Registered User
 
Registriert seit: 06.2004
Beiträge: 46
Zitat:
Zitat von djrick
Als root per SSH einloggen und das eintippen:

iptables -F

gefolgt von der 'Enter' Taste natürlich...Dannach ist die Regel wieder entfernt und es steht wieder so wie am anfang.
Vielen vielen dank!!!
Mit Zitat antworten
  #9  
Alt 12.07.2004, 20:01
memed memed ist offline
Registered User
 
Registriert seit: 07.2004
Beiträge: 222
Hallo Zusammen,

ich habe das Script mal überarbeitet, die entsprechende Regel wird hierbei geziel hinzugefügt und entfernt, so das kein flushen aller Regeln, sondern nur die FTPd/Ident block Regel raus gemacht wird. Auch wird die Regel als oberste hinzugefügt

/howto:
- Text in Datei auf dem Server einfügen (copy&paste)
- Datei nach /etc/init.d/fastftp legen
- Datei mit "chmod +x fastftp" ausführbar machen
- wenn gewünscht, mit "chkconfig fastftp on" als systemdienst einrichten
- mit "/etc/init.d/fastftp start" starten/stoppen ...



Code:
#!/bin/sh
#
# Startup script to implement local ident request blocking.
#
# chkconfig: 345 09 91
#
# description: Speeds up ftp logins for useres with port 113 dropped.
#
#  virtual name: fastftp
#  each ftp connection makes an ident (port 113) lookup on the incomming ip 
#  and a lot of home firwalls and routers drop this request, leading to a 
#  terribel time out, acctually there is no way to disable this via config or 
#  options, it's an xinetd related issue.
#  of course all firewalls could simply reject that packet, but they don't!
#  so this script drops the outgoing request to port 113 in the server.
#  (side note: some other services might use this port too, so check that) 
#
# basiert auf einem Skript von Cyberchriss aus dem ServerSupportForum.de,
# Thread hier: http://www.serversupportforum.de/showthread.php?t=864

# den Pfad zu den iptables hier eintragen, wenn er nicht erkannt wird
IPT=/sbin/iptables
[ -x $IPT ] || IPT=/usr/sbin/iptables
[ -x $IPT ] || IPT=$(which iptables)
[ -x $IPT ] ||  echo "Error, iptables binary not found, please edit the script."

case "$1" in
start)
        echo -e "\n starte $0 ..."
        # alte ftp iptables-rule loeschen
        $IPT -D OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset &>/dev/null
        # ident Abfrage auf Port 113 zurueckweisen
        $IPT -I OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset
;;
stop)
        $IPT -D OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset
        echo -e "\n fastftp iptables Regel geloescht, Port 113 ausgehend wieder offen!"
;;
status)
        echo "iptables Status fuer Port 113:"
        $IPT -L|grep 113
        $IPT -L -n -v|grep 113
;;
*)
        echo "USAGE: $0 (start|stop|status)"
;;
esac
exit
Gruß MeMeD

update: ich hab mal nen (engl) Text dazu geschieben, denn AFAIK geht das ohne patchen bei der xinetd variante nicht rauszubekommen mit dem ident lookup.

update2: ich habe eine Erkennung für iptables reingemacht

Geändert von memed (27.07.2004 um 23:40 Uhr)
Mit Zitat antworten
  #10  
Alt 01.12.2004, 23:09
Benutzerbild von Net-MAster
Net-MAster Net-MAster ist offline
Registered User
 
Registriert seit: 10.2004
Beiträge: 133
starte ./fastftp ...
iptables: Memory allocation problem

das ist doch nicht normal oder? ich hab nur die standart programme laufen wie apache etc
Mit Zitat antworten
  #11  
Alt 22.06.2005, 03:37
CasTroy CasTroy ist offline
Registered User
 
Registriert seit: 06.2005
Beiträge: 1
Daumen hoch

BOAR DANNKKKEEEEE

Endlich kann ich mit Filezilla arbeiten. Ich habs nicht mehr geblickt, wieso ausgerechnet dieser eine FTP Account nicht geht, jedoch jeder anderer von mir zu Hause über den Router. Komischerweise konnte ich mich über webftp.de einloggen .

DANKE DANKE DANKE
Mit Zitat antworten
  #12  
Alt 26.06.2005, 22:29
Benutzerbild von Penguin
Penguin Penguin ist offline
Registered User
 
Registriert seit: 06.2005
Beiträge: 2
Wie binde ich das Scirpt ein?

Hallo MeMeD,

können Sie genau erklären, wie man das Script einbinden muß? Ich weiß, ich muß mich über Putty mit root einloggen und dann... Wie bekomme ich die Datei auf den Server - via FTP?

Ich kann mir vorstellen, dass auch andere, die nicht viel Ahnung von Linux haben, daran interessiert sind!

Danke, Rob

++++++++++++++++++++++++++++++++++++++++++++++++++ +++


Zitat:
Zitat von memed
Hallo Zusammen,

ich habe das Script mal überarbeitet, die entsprechende Regel wird hierbei geziel hinzugefügt und entfernt, so das kein flushen aller Regeln, sondern nur die FTPd/Ident block Regel raus gemacht wird. Auch wird die Regel als oberste hinzugefügt

/howto:
- Text in Datei auf dem Server einfügen (copy&paste)
- Datei nach /etc/init.d/fastftp legen
- Datei mit "chmod +x fastftp" ausführbar machen
- wenn gewünscht, mit "chkconfig fastftp on" als systemdienst einrichten
- mit "/etc/init.d/fastftp start" starten/stoppen ...



Code:
#!/bin/sh
#
# Startup script to implement local ident request blocking.
#
# chkconfig: 345 09 91
#
# description: Speeds up ftp logins for useres with port 113 dropped.
#
#  virtual name: fastftp
#  each ftp connection makes an ident (port 113) lookup on the incomming ip 
#  and a lot of home firwalls and routers drop this request, leading to a 
#  terribel time out, acctually there is no way to disable this via config or 
#  options, it's an xinetd related issue.
#  of course all firewalls could simply reject that packet, but they don't!
#  so this script drops the outgoing request to port 113 in the server.
#  (side note: some other services might use this port too, so check that) 
#
# basiert auf einem Skript von Cyberchriss aus dem ServerSupportForum.de,
# Thread hier: http://www.serversupportforum.de/showthread.php?t=864

# den Pfad zu den iptables hier eintragen, wenn er nicht erkannt wird
IPT=/sbin/iptables
[ -x $IPT ] || IPT=/usr/sbin/iptables
[ -x $IPT ] || IPT=$(which iptables)
[ -x $IPT ] ||  echo "Error, iptables binary not found, please edit the script."

case "$1" in
start)
        echo -e "\n starte $0 ..."
        # alte ftp iptables-rule loeschen
        $IPT -D OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset &>/dev/null
        # ident Abfrage auf Port 113 zurueckweisen
        $IPT -I OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset
;;
stop)
        $IPT -D OUTPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset
        echo -e "\n fastftp iptables Regel geloescht, Port 113 ausgehend wieder offen!"
;;
status)
        echo "iptables Status fuer Port 113:"
        $IPT -L|grep 113
        $IPT -L -n -v|grep 113
;;
*)
        echo "USAGE: $0 (start|stop|status)"
;;
esac
exit
Gruß MeMeD

update: ich hab mal nen (engl) Text dazu geschieben, denn AFAIK geht das ohne patchen bei der xinetd variante nicht rauszubekommen mit dem ident lookup.

update2: ich habe eine Erkennung für iptables reingemacht
Mit Zitat antworten
  #13  
Alt 06.07.2005, 13:30
nofear2063 nofear2063 ist offline
Registered User
 
Registriert seit: 07.2005
Alter: 34
Beiträge: 13
nofear2063 eine Nachricht über ICQ schicken
Änfanger !

Hallo an alle,
ich hab mal ein wenig rumgetüfftelt also das mit putty auf den server zugreifen ist ja kein ding aber wie bekommt man das script auf den server weil, ich kann nicht auf den server conecten, wäre nett wenn einer eine Seite oder einen post hätte wo man das gut beschrieben bekommt ?

cya nofear2063
Mit Zitat antworten
  #14  
Alt 08.07.2005, 22:35
Benutzerbild von Huschi
Huschi Huschi ist offline
Moderator
 
Registriert seit: 09.2003
Ort: Nürnberg
Beiträge: 15.403
Zitat:
Zitat von nofear2063
aber wie bekommt man das script auf den server
Z.B. mit WinSCP von sf.net

PS: Bitte Punkt 3 der Boardregeln beachten.

huschi.
Mit Zitat antworten
  #15  
Alt 10.07.2005, 01:27
dereine
Gast
 
Beiträge: n/a
Mal ein Tip von mir an die confixx nutzer unter debian sarge

also

man bearbeitet die die conf von proftpd

Zitat:
mcedit /etc/proftpd.conf
mann fünge am anfang bereich folgendes ein:
Zitat:
UseReverseDNS off
IdentLookups off

das abspeichern mit F2 und beenden mit F10

so und zum guten schluss kommt noch die würze hinzu,
in den mann proftpd neustartet:

Zitat:
/etc/init.d/proftpd restart

Fertig iss es,
nu viel spass


mfg
dennis
Mit Zitat antworten
Antwort



Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
FTP Login dauert 20 Sekunden gummel FTP 59 19.12.2006 23:42
S4Y: FTP Dauert ewig zum einloggen HonkXL Virtuelle Server 4 12.01.2005 13:42
s4y vserver: ftp server starten martinj Virtuelle Server 4 18.09.2004 15:52
VirtualHost wurmi Virtuelle Server 7 02.10.2003 00:20





Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2019 DragonByte Technologies Ltd.