Filezilla v. iptables
…実際は、そこそこ高機能なFTPクライアントならどれでも起こりうるかも。
FileZillaで画像ギャラリーみたいな大量のファイルをアップロードする時、途中から非常に重くなったり、最悪タイムアウトしたりする件について、原因はiptablesのポートスキャンチェインに誤認逮捕されているせいと既に明らかにはなっている。というか、ファイルごとにいちいち順繰りにパッシブポートを開くのに意味があるのかどうか? いや同じポートを使い続けても、ファイルごとにコネクションを立てている以上は、今の自サーバのiptablesのロジックではポートスキャンに引っかかるんだけど。
実際にiptablesの閾値以上にコネクションが立てられる以上、iptablesの閾値を上げるべきなのかもしれないが、こうなると本当のポートスキャンを受けてしまう可能性が高くなるので闇雲には上げたくない。
LAN側を無制限にする手も考えたが、LAN側の端末が万一感染した時に、ポートスキャンの検出を通して察知できる可能性は下げたくない。
というわけで、これまで問題が発生するたびに、SYN floodとともに閾値をジリジリと上げてきたわけだが…よく考えたらパッシブポートだけ制限解除のほうが、この際よっぽど安全そうな気がしたので、パッシブポートのみポートスキャンし放題になっている。どうぞお手柔らかに。
理想的には、ftpdがクライアントにパッシブポートを通知するタイミングで、iptablesにてそのポートだけ制限を緩くする(そして通信が終わったら元に戻す)べきなのかもしれない。
コメントフィード
トラックバックURL: http://iwashi06.dai-mine3.net/2011/04/12/filezilla-v-iptables/trackback/