Привет всем.
проблема такая: установлен новый сервер
uname -a
Linux 2.6.12 #4 SMP Wed Jul 13 16:23:22 MSD 2005 i686 Intel(R) Xeon(TM) CPU 2.80GHz unknown GNU/Linux
подняты стандартные сервисы: sendmail, squid, apache
Так вот, при попытке законнектится на ФТП с клиентской машины с установленным брэндмауэром ХР на этот сервер, получается очень длинное ожидание перед приглашением, тоже касается и других сервисов ssh, pop3.
ДНС настроен ресолвит в обе стороны. Проблема решается, если отключать Брэндмауэр ХР на клиентской машине, тогда все начинает летать.
Т.е. при коннекте клиента на сервер (смотрю tcpdump), клиенту выделяется динамически порт (например 19554), сервер получая запрос на открытие соединения пытается долбится на этот динамический порт, а брэндмауэр его не пускает, происходит задержка, когда время проходит сервер выдает приглашение.
ТАкого у меня ни разу не было, на моем "старом" сервере. Как сказать серверу, чтобы он не проверял чего-то там (не знаю уж что он делает) у клиента во время соединения? Направьте куда и что читать, плиз.
Надеюсь понятно выразился :)
Спасибо
с сервера host <клиентский_ip>
намек понял ?
>Привет всем.
>проблема такая: установлен новый сервер
>uname -a
>Linux 2.6.12 #4 SMP Wed Jul 13 16:23:22 MSD 2005 i686 Intel(R)
>Xeon(TM) CPU 2.80GHz unknown GNU/Linux
>подняты стандартные сервисы: sendmail, squid, apache
>Так вот, при попытке законнектится на ФТП с клиентской машины с установленным
>брэндмауэром ХР на этот сервер, получается очень длинное ожидание перед приглашением,
>тоже касается и других сервисов ssh, pop3.
>ДНС настроен ресолвит в обе стороны. Проблема решается, если отключать Брэндмауэр ХР
>на клиентской машине, тогда все начинает летать.
>Т.е. при коннекте клиента на сервер (смотрю tcpdump), клиенту выделяется динамически порт
>(например 19554), сервер получая запрос на открытие соединения пытается долбится на
>этот динамический порт, а брэндмауэр его не пускает, происходит задержка, когда
>время проходит сервер выдает приглашение.
>ТАкого у меня ни разу не было, на моем "старом" сервере.
>Как сказать серверу, чтобы он не проверял чего-то там (не знаю
>уж что он делает) у клиента во время соединения? Направьте куда
>и что читать, плиз.
>Надеюсь понятно выразился :)
>Спасибо
>с сервера host <клиентский_ip>
>намек понял ?намек на то DNS криво работает, host <клиентский_ip> выдает имя клиентской машины, host <имя_клиента> выдает его ip
Опять же странно, выключая этот гребанный брэндмауэр виндовс у клиента, все начинает летать, коннектится без задержки. У меня очень много клиентов с XP SP2, где включен брэнд, всем отключать не хочется.
странно обычно такое когда обратная зона не настроена :)
посмотри tcpdump с включенным и выключенным фареволом>>с сервера host <клиентский_ip>
>>намек понял ?
>
>намек на то DNS криво работает, host <клиентский_ip> выдает имя клиентской машины, host <имя_клиента> выдает его ip
>Опять же странно, выключая этот гребанный брэндмауэр виндовс у клиента, все начинает
>летать, коннектится без задержки. У меня очень много клиентов с XP
>SP2, где включен брэнд, всем отключать не хочется.
>Так вот, при попытке законнектится на ФТП с клиентской машины с установленным
>брэндмауэром ХР на этот сервер, получается очень длинное ожидание перед приглашением,
>тоже касается и других сервисов ssh, pop3.
>ДНС настроен ресолвит в обе стороны. Проблема решается, если отключать Брэндмауэр ХР
>на клиентской машине, тогда все начинает летать.
Брэндмауэр на XP блокирует входящие AUTH (TCP, порт 113) запросы, посылаемые Linux-машиной при обращении к ней по ftp, pop3, smtp и т.п.
В данном случае тебе необходимо сделать одно из двух:
а) либо разрешить в брэндмауре XP прохождение входящих пакетов на 113 порт TCP
б) либо непосредственно на Linux REJECT'тить эти пакеты в цепочке OUTPUT простым правилом iptablesПервое - логичнее, задержка происходит по вине клиента, вот пусть он и подстраивается. Второе - проще, избавит тебя от аналогичного геммороя с другими.
>>Так вот, при попытке законнектится на ФТП с клиентской машины с установленным
>>брэндмауэром ХР на этот сервер, получается очень длинное ожидание перед приглашением,
>>тоже касается и других сервисов ssh, pop3.
>>ДНС настроен ресолвит в обе стороны. Проблема решается, если отключать Брэндмауэр ХР
>>на клиентской машине, тогда все начинает летать.
>
>
>Брэндмауэр на XP блокирует входящие AUTH (TCP, порт 113) запросы, посылаемые Linux-машиной
>при обращении к ней по ftp, pop3, smtp и т.п.
>В данном случае тебе необходимо сделать одно из двух:
>а) либо разрешить в брэндмауре XP прохождение входящих пакетов на 113 порт
>TCP
>б) либо непосредственно на Linux REJECT'тить эти пакеты в цепочке OUTPUT простым
>правилом iptables
>
>Первое - логичнее, задержка происходит по вине клиента, вот пусть он и
>подстраивается. Второе - проще, избавит тебя от аналогичного геммороя с другими.
>
Vitalka!
Огромное тебе спасибо! Я как раз к этому и шел, анализируя tcpdump в режиме файвола и без него, я видел эти запросы auth. Ты прояснил мои сомнения.