Erster Zugriff auf FTP Server ist sehr langsam

Heiko

Herzlich willkommen!
Hallo zusammen

Ich habe den G6 FTP Server (3.5.0 Build 10) bei mir installiert.
Soweit klappt alles prima, nur eine Sache ist mir aufgefallen:

Der erste Zugriff auf den Server dauert sehr lange. Wenn ich von einem Client "ftp ip-adresse" eingebe kommt die Meldung "Verbindung mit xxx.xxx.xxx.xxx wurde hergestellt.". Anschließend dauert es bis zu 18 Sekunden - dann erst erscheint der login. Trenne ich die Verbindung und starte sie wieder dauert das ganze ca eine Sekunde.

Den gleichen Effekt habe ich, wenn ich per FTP Client (FileZilla) auf den Server zugreife.
Beim ersten Zugriff bleibt er sehr lange mit der Meldung "Verbunden mit xxx.xxx.xxx.xxx. Warten auf Willkommens-Meldung..." stehen, bevor der login durchgeführt wird. Trennen - Verbindung erneut aufbauen = login erfolgt sehr schnell.

Der FTP Server steht hinter einer Firewall in einer eigenen DMZ.

Herzliche Grüße
Heiko
 
Hallo Heiko! :)

Ne DMZ ist ein unnötiges Sicherheitsrisiko!!
icon4.gif


Das Logfile vom Server wäre hilfreich.

Hast du nen lokalen oder entfernten Test gemacht?

Wie lange dauerts denn über diese Seite? -> http://ftptest.maxg.ath.cx
 
Hallo Heiko, herzlich willkommen :)
Ich habe folgende Vermutung: Es wird versucht, die IP-Adresse des Clients in den Hostnamen aufzulösen, was entweder lange dauert oder mit einem Timeout endet. Im Server selbst gibt es dafür die Option "Auflösen der IP-Adresse des Benutzers", zu finden in den Domain-Einstellungen unter Sicherheit/Optionen.
Wenn das Häkchen gesetzt ist, dann entferne es mal und teste erneut.
Tritt es dann immer noch auf, könnte auch die Firewall diesen Effekt auslösen.
 
Es hat geklappt

Das ging ja schnell :eek:

Der Haken bei "Auflösen der IP-Adresse des Benutzers" wars.
Vielen Dank für die schnelle Antwort :bier .

Kurze Zwischenfrage: Wieso ist eine DMZ ein unötiges Sicherheitsrisiko?

Herzliche Grüße
Heiko
 
Sehr schön :)

Zu Deiner Frage: Die DMZ hebt sämtliche Sicherheitsmerkmale auf, obwohl das für den FTP-Betrieb nicht nötig ist, da reichen 1-2 einfache Regeln
 
Danke für den Tip.

Wir wollten halt keinen Windows Server, der direkt an das Internet angeschlossen ist in unser internes Netz stellen. Außerdem lassen sich auf diese Weise nicht nur die Zugriffsmöglichkeiten zwischen Internet und FTP-Server sondern auch zwischen internes Netzwerk und FTP Server steuern.
Ein Sicherheitsrisiko sehe ich da nicht (außer die Firewall ist bescheiden konfiguriert :D )

Herzliche Grüße und Danke nochmal für den klasse Support :)
Heiko
 
DMZ = (De) Ent Militarisierte Zone = Kein Schutz durch die Firewall

Weitere Fragen zur DMZ werden hier beantwortet. :)
 
MaXg schrieb:
DMZ = (De) Ent Militarisierte Zone = Kein Schutz durch die Firewall
Der post ist zwar schon länger her, aber beim durchlesen kribbelte es mich ungemein in den Fingern...

Denn, naja, es ist fast richtig. I.d.R. hat man eine DMZ genau deswegen, um seine direkt ans IN angeschlossenen Rechner da rein setzt: FW <=> DMZ <=> internes Netz.

Dabei ist jetzt nicht die Rede von dem einzigen Spiele-/Arbeitsrechner zu Hause, sondern einen weiteren, der FTP und andere Dienste aus der DMZ anbietet. U.A. macht man das eben deswegen, weil bei FTP die Passwörter in Klartext übers Netz gehen und wenn der Rechner kompromitiert wird, dann ist noch eine Firewall zwischen diesen und dem internen Netz / Rechner.

Ein anständiger Admin lässt NIE von aussen ins Netz / auf den Rechner hinter der Firewall zugreifen.

Gruss,
Joel
 
Ja, dann ist man der normale (angreifbare) User ;)

Nein, der Router ja die Firewall und DMZ Funktion deswegen, damit man da einen Rechner angeben kann, der dann durch eine - wenn auch nur grob konfigurierbare Hardware Firewall geschützt ist -, auf dem nur die notwendigsten Services frei und alle überflüssigen Ports dicht sind.

Auf dem Server läuft eine Software Firewall, der "lokale" Rechner ist einer zweiten NIC dort angeschlossen, so:
(Router) Hard FW <-> 1. Nic <-> Rechner in DMZ <- Soft FW <-> 2. Nic <-> intern

oder wenigstens so:
(Router 1. port) Hard FW <-> 1. Nic <-> Rechner in DMZ ->|
(Router 2. port) Hard FW <-> intern

wobei die erste Variante noch sicherer und eleganter ist.

Einen zweiten Rechner aus irgendwelchen Teilen zusammenzuschrauben und eine schlankes Linux drauf zu packen, ist wohl eher nicht das Prob, muss ja nicht die 3Gig Kiste sein.

Ist einfach die Frage, ob man Gott und die Welt auf seinen Rechner lassen will.
Die genannten "einfachen 1-2 Regeln" machen das Tor eben weit auf. Letztendlich weiss doch kein Mensch genau, wer da da draussen (in dem Netz des Providers, etc) mitlauscht.

Aber ich wollte auch keine Welle lostreten.... Ist halt eine Einstellungs- keine Glaubensfrage.

Gruss,
Joel
 
joel schrieb:
Denn, naja, es ist fast richtig. I.d.R. hat man eine DMZ genau deswegen, um seine direkt ans IN angeschlossenen Rechner da rein setzt: FW <=> DMZ <=> internes Netz.

Stimmt ja. Ist der Grundbau einer DMZ.

Aber:
Nahezu alle User, die die möglichkeit haben, ihren Rechner X in die DMZ zu nehmen, nur damit Programm xy läuft, wissen nicht, dass ein solcher Netzaufbau geplant werden muss.

Keins meiner mir bekannten und zt. betreuten Firmennetzwerke (knapp 60) setzt DMZ ein.

Der Hinweis oben ist vorallem als Warnung zu verstehen. Firmennetzwerke brauchens meisst nicht, warum dann der (unbedarfte) Homeuser?
Ist dann wie Parken in der zweiten Reihe ->Türen, Fenster & Kofferraum sind offen. Schlüssel steckt auch noch drin. Fehlt bloss noch die Zündung.
 
MaXg schrieb:
Stimmt ja. Ist der Grundbau einer DMZ.

Keins meiner mir bekannten und zt. betreuten Firmennetzwerke (knapp 60) setzt DMZ ein.
Hm, das ist zu undifferenziert. Ich kenne kein Unternehmen das keine hat ;)
Ernsthaft.

Wenn man keine im IN exponierten Rechner hat, braucht man auch keine. Du willst mir nicht sagen, diese Firmen bedienen ihren Webauftritt, Mailer etc von einem Rechner innerhalb des Netz? Oder ist es Dir einfach nicht bewusst, das die Internet-Rechner an einem anderen Beinchen der FW hängt?

Oder redest Du von solche Netze, wie man sie z.B. gerne Artz- oder Rechtsanwaltpraxen findet? Stimmt, die wollen es in der Regel so günstig wie möglich und das dürfte die Mehrheit sein.
Aber deswegen ist es nicht weniger falsch bzw. äusserst riskant, wie eben auch das Freischalten von FTP von aussen nach innen, durch seinen Router auf die Workstation zu Hause.

Bei den Heimroutern kann man allerdings auch nicht wirklich von einer DMZ reden.
Mir war aber einfach die ursprüngliche Aussage "ja nicht in die DMZ setzen, das ist zu gefährlich" zu pauschalisiert.
Das mag ja für die einzige Workstation zu Hause die einzige Möglichkeit sein, damit der FTP-Server funktioniert... aber ich finde es fast schon unverantwortlich jemanden anzuraten FTP freizuschalten. Schreib das mal so an Heise oder hinterfrag das da - denke die Kollegen werden die Hände vor dem Gesicht zusammenschlagen.

Und womöglich macht man das dann für HTTP auch noch und installiert Mambo, phpbb oder Nuke Php.

Gruss,
Joel
 
Oben