Ice
Well-Known Member
Hallo Leute,
ich habe hier folgendes Problem auf einem OBSD-Gateway festgestellt und bin mir nicht sicher, ob es sich dabei um einen Bug im System handelt oder ich was falsch konfiguriert hatte:
Die Verbindung ins Internet läuft über 2 OBSD-Gateways. Für den Zugriff auf externe FTP-Server habe ich auf dem externen Gateway einen transparenten ftp-proxy über inetd eingerichtet.
Nun hatte ich plötzlich das Problem, dass dem Kernel die Filetable vollgelaufen ist, weil der ftp-proxy sich nicht beendet hat, wenn die Verbindung getrennt wurde, sondern immer neue Verbindungen geöffnet hat.
Nachdem ich nun dem ftp-proxy manuell einen Timeout gesetzt habe, scheint alles wieder Bestens zu funktionieren.
Jetzt meine Frage:
Kann es sein, dass der ftp-proxy keinen default Timeout hat, sondern die Verbindungen wirklich offen hält??? Kann ich mir eigentlich nicht vorstellen.
Oder ist da wirklich ein Bug drin?
Hier mal die entscheidenden Auszüge aus meiner Konfiguration:
/etc/pf.conf
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
/etc/inetd.conf
127.0.0.1:8021 stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
Gruß,
Ice
ich habe hier folgendes Problem auf einem OBSD-Gateway festgestellt und bin mir nicht sicher, ob es sich dabei um einen Bug im System handelt oder ich was falsch konfiguriert hatte:
Die Verbindung ins Internet läuft über 2 OBSD-Gateways. Für den Zugriff auf externe FTP-Server habe ich auf dem externen Gateway einen transparenten ftp-proxy über inetd eingerichtet.
Nun hatte ich plötzlich das Problem, dass dem Kernel die Filetable vollgelaufen ist, weil der ftp-proxy sich nicht beendet hat, wenn die Verbindung getrennt wurde, sondern immer neue Verbindungen geöffnet hat.
Nachdem ich nun dem ftp-proxy manuell einen Timeout gesetzt habe, scheint alles wieder Bestens zu funktionieren.
Jetzt meine Frage:
Kann es sein, dass der ftp-proxy keinen default Timeout hat, sondern die Verbindungen wirklich offen hält??? Kann ich mir eigentlich nicht vorstellen.
Oder ist da wirklich ein Bug drin?
Hier mal die entscheidenden Auszüge aus meiner Konfiguration:
/etc/pf.conf
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
/etc/inetd.conf
127.0.0.1:8021 stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
Gruß,
Ice