PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : proFTPd lahmt!!



Urkommunist
04.07.03, 22:53
Mein debian/stable proFTPd lahmt im Netzwerk.
Es dauert ewig bis ich drauf connecten kann, doch sobald ich im Internet bin dauert die Anmeldung keine Sekunde.

Was kann man tun bzw. ändern!

Bauchi
05.07.03, 00:55
Was kann man tun bzw. ändern!
lösung a)
dafür sorgen das deine clientip reverse aufgelöst werden kann .. der timeout kommt in 99% der fälle daher, das man vergessen hat im dns die reversezonen zu pflegen ...

lösung b)
vsftpd verwenden, dem ist die reversauflösung schêissegal ...

Doh!
05.07.03, 09:23
Der ReverseLookup macht nur dann Ärger, wenn kein DNS zu erreichen ist. Ist ein DNS zu erreichen, dann macht auch eine falsche oder negative Antwort nichts aus, es gibt keinen Timeout, die Kiste macht weiter. Nur wenn Du Deine Dienste so restrictiv einstellst, dass sie die Arbeit verweigern, wenn sie keinen Reversen Lookup machen können, dann klappt die Anmeldung nicht. Aber dann klappt sie auch gar nicht. Trotzdem kannst Du den reversen Lookup mit


UseReverseDNS off

abschalten.

Du schreibst, dass Du, sobald Du einmal im Internet bist, die Anmeldung ratzifatzi geht. Wie ist es denn, wenn Du in's Internet gehst? Dauert's beim ersten mal auch lang?

Manchmal macht auch das ident-Protokoll Ärger: Ident ist ein Protokoll, mit dem Serverdienste (Sendmail macht das ganz gerne) die Identität eines Benutzers einer IP-Verbindung abfragen können, sofern der abgefragte Benutzer das auch beantwortet. Dies ist allerdings meist nicht der Fall, oft wird so eine Anfrage durch eine FW blockiert. Falls dies der Fall ist gibt es drei Möglichkeiten:

1. Schalte das ident auf dem Proftp ab, ist per default auf on:


IdentLookups off

2. Lasse identabfragen durch die FW. Dann kann es aber immer noch sein, dass Remote User das selbe Problem haben.
3. Mache keinen drop bei Identabfragen, sondern ein Reject, dann weiß Dein Proftp, dass es keine Antwort gibt und wartet nicht erst auf den Timeout des idents.

Urkommunist
05.07.03, 17:56
Danke ich habe
UseReverseDNS off
IdentLookups off

in die conf des proFTPd eingetragen und nun gehts richtig schnell!!

Danke

Doh!
05.07.03, 20:08
Schalt doch eins mal wieder ein und sach woran's tatsächlich gelegen hat, würd' mich interessieren

dkdk
05.07.03, 21:19
hab des mim Urkommunist zsamme gamacht! Es ging erst richtig mit dem Eintrag

UseReverseDNS off

Allerdings ist dann ja normal ein Problem mit der REverse DNS, weil es ja erst funktioniert wenn man die deaktiviert/off in proftpd!
Weil beim ircd haben wir das gleiche Problem, es dauert dort fast 20 Sec. bis man auf dem Server ist. Bin ich im Internet drin, bin ich sofort drauf! Hat da jemand ne Idee dazu, was ich da umstellen muss?

Bauchi
06.07.03, 11:59
ja .. sorg dafür das euere internen ip's aufgelöst werden können ...

es ist nämlich nicht so wie von Doh! beschrieben:
Der ReverseLookup macht nur dann Ärger, wenn kein DNS zu erreichen ist. Ist ein DNS zu erreichen, dann macht auch eine falsche oder negative Antwort nichts aus, es gibt keinen Timeout, die Kiste macht weiter.
nachdem er (gethostbyname) den dns service benutzt hat versucht er es über die hosts datei und evtl noch über andere konfigurierte nss services ...

du kannst auch deine intranet hosts in die /etc/hosts des servers eintragen (typische mcse lösung) oder auf einem lokalen dns server euere ip's auflösen (ordentliche uni* lösung)

Doh!
06.07.03, 13:59
Original geschrieben von Bauchi
ja .. sorg dafür das euere internen ip's aufgelöst werden können ...

es ist nämlich nicht so wie von Doh! beschrieben:
nachdem er (gethostbyname) den dns service benutzt hat versucht er es über die hosts datei und evtl noch über andere konfigurierte nss services ...

du kannst auch deine intranet hosts in die /etc/hosts des servers eintragen (typische mcse lösung) oder auf einem lokalen dns server euere ip's auflösen (ordentliche uni* lösung)

Doch es ist so!

Standardmäßig schaut ein Linux-Client (wird in /etc/host.conf eingestellt) zuerst in der hosts-Datei, dann in den Nameservice, der in der resolv.conf eingetragen ist.

Einen Timeout kann es logischerweise nur geben, wenn der NS-Server nicht erreichbar ist. Ist ein Nameserver zu erreichen aber kann der die Reverse Auflösung nicht machen, so gibt es keinen Timeout, sondern es gibt eine Antwort, dass kein Nameserver bescheid weis. Diese Antwort wird dem Client übergeben, und der muss dann keinen Timout machen. Wenn nun das Clientprogramm dennoch zugriff erlaubt, siehst DU keine Verzögerung.

Bei uns ist es auch so. Wenn Du Dich auf unseren ftp-Server verbindest, und keine gültige reverse Auflösung machen kannst, dann gibt es KEINE Verzögerung!

dkdk
06.07.03, 14:09
proftpd
geht jetzt ja wunderbar

nur ircd net, nur mit zeitverzögerung beim connecten

Bauchi
06.07.03, 16:33
Original geschrieben von dkdk
proftpd
geht jetzt ja wunderbar

nur ircd net, nur mit zeitverzögerung beim connecten
dann lies was ich geschrieben hab ...:rolleyes:

Bauchi
06.07.03, 16:38
Original geschrieben von Doh!
Doch es ist so!

Standardmäßig schaut ein Linux-Client (wird in /etc/host.conf eingestellt) zuerst in der hosts-Datei, dann in den Nameservice, der in der resolv.conf eingetragen ist.

Einen Timeout kann es logischerweise nur geben, wenn der NS-Server nicht erreichbar ist. Ist ein Nameserver zu erreichen aber kann der die Reverse Auflösung nicht machen, so gibt es keinen Timeout, sondern es gibt eine Antwort, dass kein Nameserver bescheid weis. Diese Antwort wird dem Client übergeben, und der muss dann keinen Timout machen. Wenn nun das Clientprogramm dennoch zugriff erlaubt, siehst DU keine Verzögerung.

Bei uns ist es auch so. Wenn Du Dich auf unseren ftp-Server verbindest, und keine gültige reverse Auflösung machen kannst, dann gibt es KEINE Verzögerung!

schön was du da so alles schreibst ... und ich muss dir fast zu 100% recht geben ..

nachdem du aber nicht wirklich den plan zu haben hast, was genau passiert bei der namensauflösung, lege ich dir ein buch über c programmierung (http://www.amazon.de/exec/obidos/ASIN/3827257271/) ans herz oder das manual der glibc (http://www.gnu.org/manual/glibc-2.2.5/libc.html), damit du weisst was genau passiert ..

Doh!
06.07.03, 18:43
Original geschrieben von Bauchi
schön was du da so alles schreibst ... und ich muss dir fast zu 100% recht geben ..

nachdem du aber nicht wirklich den plan zu haben hast, was genau passiert bei der namensauflösung, lege ich dir ein buch über c programmierung (http://www.amazon.de/exec/obidos/ASIN/3827257271/) ans herz oder das manual der glibc (http://www.gnu.org/manual/glibc-2.2.5/libc.html), damit du weisst was genau passiert ..

doch weiß ich. Nur weil Du mal 2 Stunden an der Uni C Programmiert hast, musst Du hier nicht so rumtönen. Ich muss echte Systeme am laufen halten und hatte ebenfalls genau das selbe Problem, wir haben mehrere Spezialisten gefragt, auch die Stimmen zu.

Was genau ist denn falsch an dem was ich sage? Nochmal: Timeouts gibt es nur, wenn kein DNS zu erreichen ist. Probiers doch mal bei SSH aus: Verbinde Dich mal mit einem Rechner, der KEINE ordentliche reverse Auflösung eingetragen hat auf einen Rechner, der keinen DNS eingetragen hat und schwupp, hast Du Wartezeit, wegen Timeout. Trägst Du dann aber bei dem anderen Rechner einen gültigen DNS ein, dann gibt's KEINEN Timeout, obwohl die reverse Auflösung immer noch nicht drin steht.

dkdk
06.07.03, 20:27
Probiers doch mal bei SSH aus: Verbinde Dich mal mit einem Rechner, der KEINE ordentliche reverse Auflösung eingetragen hat auf einen Rechner, der keinen DNS eingetragen hat und schwupp, hast Du Wartezeit, wegen Timeout. Trägst Du dann aber bei dem anderen Rechner einen gültigen DNS ein, dann gibt's KEINEN Timeout, obwohl die reverse Auflösung immer noch nicht drin steht.

ach deshalb komm ich per ssh auf den DNS server schneller!
Bei allen anderen gibts ne kleine Verögerung!

Doh!
07.07.03, 10:01
So, Bauchi und ich haben das jetzt wie Männer geregelt und erst mal ein Fernbier zusammen getrunken. Haben wohl a bisserl aneinander Vorbeigeschwätzt. Auf jeden Fall sollte darauf geachtet werden, dass alle Nameservices erreichbar sind und korrekte antworten liefern, oder noch besser, bei ftp (weil nicht so sicherheitskritsich) der nslookup abgeschaltet wird.

Ansonnsten denkt auch an ident, das macht auch immer viel Ärger und nervt.

Bauchi
07.07.03, 10:05
ACK *prost*