ProFtpd na moim serwerze charakteryzował drobnymi opóźnieniami przy połączeniach, nawet ktoś kiedyś zwrócił mi na to uwagę, ale nie przejąłem się tym zbytnio. Jednak gdy ostatnio wpadłem na pomysł, z nudów, na poczytanie dokumentacji netfiltera (swoją drogą bardzo ciekawej) oraz pogłębienie w ogóle mojej wiedzy na temat stanowych firewalli, znalazłem rozwiązanie tego problemu w fajnym howto autorstwa Pawła Krawczyka.
Mianowicie owe opóźnienie bierze się z oczekiwania serwera na połączenie zwrotne od IDENTa. Rozwiązanie problemu za pomocą iptables jest więc następujące:
iptables -A INPUT -p tcp –dst 0/0 –dport 113 -j REJECT –reject-with icmp-port-unreachable
Zwróćmy uwage, że np. zwykłe wycięcie portu DROPem nie dało by żadnego rezultatu ponieważ połączenie tnie bez udzielenia odpowiedzi nadawcy, w przeciwieństwie do REJECT.
To było rozwiązanie z użyciem tabelek ja natomiast wyczytałem w dokumentacji ProFtpd, którego używam, że można również załatwić to przez dodanie do pliku proftpd.conf:
UseReverseDNS off
IdentLookups off
ServerIdent off
Brak komentarzy:
Publikowanie komentarza