ごまめの遠足。

個人的なお気に入りの場所・ツボにはまった場所を紹介

  • 過去のひみつ基地
  • GPSのデータについて
  • 旧・バーチャロン関連は工事中

Filezilla v. iptables

…実際は、そこそこ高機能なFTPクライアントならどれでも起こりうるかも。

FileZillaで画像ギャラリーみたいな大量のファイルをアップロードする時、途中から非常に重くなったり、最悪タイムアウトしたりする件について、原因はiptablesのポートスキャンチェインに誤認逮捕されているせいと既に明らかにはなっている。というか、ファイルごとにいちいち順繰りにパッシブポートを開くのに意味があるのかどうか? いや同じポートを使い続けても、ファイルごとにコネクションを立てている以上は、今の自サーバのiptablesのロジックではポートスキャンに引っかかるんだけど。

実際にiptablesの閾値以上にコネクションが立てられる以上、iptablesの閾値を上げるべきなのかもしれないが、こうなると本当のポートスキャンを受けてしまう可能性が高くなるので闇雲には上げたくない。

LAN側を無制限にする手も考えたが、LAN側の端末が万一感染した時に、ポートスキャンの検出を通して察知できる可能性は下げたくない。

というわけで、これまで問題が発生するたびに、SYN floodとともに閾値をジリジリと上げてきたわけだが…よく考えたらパッシブポートだけ制限解除のほうが、この際よっぽど安全そうな気がしたので、パッシブポートのみポートスキャンし放題になっている。どうぞお手柔らかに。

理想的には、ftpdがクライアントにパッシブポートを通知するタイミングで、iptablesにてそのポートだけ制限を緩くする(そして通信が終わったら元に戻す)べきなのかもしれない。

2011/04/12 23:45 | カテゴリー:Fedora, 計算機とか | コメント(0)

« 当尾石仏めぐり追試 スポーク切れた »

コメントを残す コメントをキャンセル

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください。

コメントフィード

トラックバックURL: http://iwashi06.dai-mine3.net/2011/04/12/filezilla-v-iptables/trackback/

  • 過去記事検索

  • カテゴリー

    • 写真
    • おさんぽ
    • 自転車
    • ハイキング
    • 計算機とか
    • Fedora
    • Windows
    • ビデオ録画とか
    • ゲーム
    • FS2004
    • FSX
    • ただの日記
  • 最近の投稿

    • 北湖一周とパター3本目
    • 猛省
    • サーバ入れ替え
    • 準カレー事件
    • 洗濯機排水ホース交換 ×2
    • BR-6500(F)
    • 白猪ノ氷瀑
    • 『ウォーキングマシン』HSM-T08D のこと
  • アーカイブ

    • 2014年10月
    • 2013年10月
    • 2013年9月
    • 2013年8月
    • 2013年2月
    • 2013年1月
    • 2012年12月
    • 2012年11月
    • 2012年10月
    • 2012年5月
    • 2012年3月
    • 2012年1月
    • 2011年12月
    • 2011年11月
    • 2011年10月
    • 2011年9月
    • 2011年8月
    • 2011年7月
    • 2011年6月
    • 2011年5月
    • 2011年4月
    • 2011年3月
    • 2011年2月
    • 2011年1月
    • 2010年12月
    • 2010年11月
    • 2010年10月
    • 2010年9月
    • 2010年8月
    • 2010年7月
    • 2010年6月
    • 2010年5月
    • 2010年4月
  • 2011年4月
    日 月 火 水 木 金 土
     12
    3456789
    10111213141516
    17181920212223
    24252627282930
    « 3月   5月 »

* RSS FEED

※過去の記事は順次統合中です

Copyright © Master Keystone, 2001-2011