.titleBar { margin-bottom: 5px!important; }

FTP nach außen bei aktiver Firewall verzögert

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von Lenni2k1, 14 Okt. 2006.

  1. Lenni2k1

    Lenni2k1 Neuer User

    Registriert seit:
    1 Okt. 2006
    Beiträge:
    70
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo, es geht um die ds Firewall und zwar gibt es da ein Problem und ich weiß nicht warum das so ist. In der Whitelist habe ich nur die wichtigsten Ports zu meiner MAC Adresse angegeben. Port 80,443 usw. das funktioniert auch alles ohne Probleme. Da ich nun öfters auch mal per Konqueror oder Firefox ne FTP Verbindung brauche, sind natürlich auch Port 20,21 nach außen geöffnet. Nun ist es aber so, das wenn ich als User angemeldet bin, eine Verzögerung von ca. 30Sekunden besteht. d.h. der FTP Inhalt wird erst nach den 30Sekunden im Konqueror gelistet. Bin ich als root angemeldet geht es ohne diese Wartezeit. Deaktiviere ich den Firewall Dienst, dann geht es auch als User ohne Wartezeit. Hat einer ne Idee warum das so ist?

    Lenni
     
  2. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    #2 danisahne, 14 Okt. 2006
    Zuletzt bearbeitet: 14 Okt. 2006
    Seltsam ist, dass es als root anders ist. Ansonsten würde ich darauf tippen, dass es an passivem FTP liegt. Port 20 wird glaube ich nur für aktives FTP eingehend gebraucht. Bei passivem FTP, was du ja hinter einer NAT brauchst, bietet dir der FTP Server einen (meist hohen unpreviligierten) Port an, zu dem sich dein Client verbinden soll. Dieser Port ist bei dir aber natürlich nicht freigegeben. Um das Problem in den Griff zu bekommen gibt es ip_conntrack_ftp. Warum das allerdings erst nach 30 Sekunden geht, hab ich keine Ahnung. Ich würde mal einen TCP Dump machen und schauen, was da wirklich passiert.

    Mfg,
    danisahne
     
  3. gandalf94305

    gandalf94305 Guest

    Schau mal hier: http://wiki.ip-phone-forum.de/internet:slowconnection

    Manche FTP-Server machen IDENT-Lookups und die liefern ohne Firewall wahrscheinlich ein "Connection Refused", d.h. die Antwort kommt praktisch sofort, und mit Firewall ein Timeout.

    Warum das als root anders ist... Hmm... die Id "root" wird normalerweise nicht von FTP-Servern akzeptiert, so daß hier ggf. ein Lookup gar nicht stattfindet... wilde Vermutung.

    --gandalf.
     
  4. Lenni2k1

    Lenni2k1 Neuer User

    Registriert seit:
    1 Okt. 2006
    Beiträge:
    70
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hab mal nen TCP Dump gemacht, bei der genannten Wartezeit wiederholt sich folgende Zeile mehrmals

    Code:
    13:28:08.758183 IP 192.168.xx.xx.49886 > ftp.proxad.net.60114: S 3201725278:3201725278(0) win 5840 <mss 1460,sackOK,timestamp 3234661 0,nop,wscale 5>
    
    Sagt das euch was?

    Lenni
     
  5. gandalf94305

    gandalf94305 Guest

    War das mit oder ohne Firewall? Bitte versuche mal einen kompletten Dump (incl. ICMP) zu machen... ohne Firewall aktiv.

    --gandalf.
     
  6. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Da die Firewall des ds-mod aber nur intern hinter dem dsld arbeitet, ist AVMs "Firewall" für das Droppen/Rejecten der IDENT Anfragen zuständig.

    Mfg,
    danisahne
     
  7. Lenni2k1

    Lenni2k1 Neuer User

    Registriert seit:
    1 Okt. 2006
    Beiträge:
    70
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    War mit aktiver Firewall.

    Wie mache ich das mit incl. ICMP? Und soll ich hier wirklich hunterte Zeilen posten?

    Lenni
     
  8. Lenni2k1

    Lenni2k1 Neuer User

    Registriert seit:
    1 Okt. 2006
    Beiträge:
    70
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Keiner der helfen kann? Muß doch an irgendwas liegen.:confused:

    Lenni