このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

iptablesについて確認願います。 このメッセージに返信する
日時: 2007/05/21 15:48
名前: Comet
URL:
お世話になっております。
Fedora側の過去ログにもあったのですが、
iptable使用時に例としてqmail本体がwgetできないという現象が現れました。
原因を探ってみたのですが原因と思われる箇所は全て管理人様のscriptで対応してありました。

ip_conntrack_ftp モジュールの読み込み
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 外部からの返答許可

しかしながらqmailのダウンロード先のようにpassive専用の場所からダウンロードを試みると、
「サーバの応答にエラーがあるので、接続を終了します。」
「再試行しています。」
と繰り返されダウンロードできません。

messagesのログは下記の通りです。
May 21 15:41:24 hst01 kernel: conntrack_ftp: partial 227 1068029355+29
May 21 15:41:24 hst01 kernel: conntrack_ftp: partial 227 1068029355+29
May 21 15:41:24 hst01 kernel: [IPTABLES INPUT] : IN=eth0 OUT= MAC=eth0のMACアドレス SRC=202.41.218.243 DST=サーバのLocalIP LEN=43 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=TCP SPT=51820 DPT=0 WINDOW=0 RES=0x00 RST URGP=0

iptablesを停止させれば問題なくダウンロードできる事は確認しております。
試しにip_nat_ftpも読み込ませてみたのですが現状は変わらずでした。
管理人様の環境では如何でしょうか?

当方環境は再インストール途中ですがCentOS5です。
特殊な設定等は行っておりません。
記事編集 編集
Re: iptablesについて確認願います。 このメッセージに返信する
日時: 2007/05/25 10:12
名前: 管理人
URL:
Comet様

当方環境でもwgetがPASVで固まってしまい、ダウンロードできませんでした。
対処としては、
modprobe -r ip_conntrack_ftp
でip_conntrack_ftpモジュールを削除すればwgetできることを確認できました。

[root@centos ~]# lsmod|grep ip_conntrack_ftp
ip_conntrack_ftp 11697 0
ip_conntrack 53153 2 ip_conntrack_ftp,xt_state

[root@centos ~]# wget ftp://ftp.jp.qmail.org/qmail/qmail-1.03.tar.gz
--10:10:17-- ftp://ftp.jp.qmail.org/qmail/qmail-1.03.tar.gz
=> `qmail-1.03.tar.gz'
ftp.jp.qmail.org をDNSに問いあわせています... 202.41.218.243
ftp.jp.qmail.org|202.41.218.243|:21 に接続しています... 接続しました。
anonymous としてログインしています... ログインしました!
==> SYST ... 完了しました。 ==> PWD ... 完了しました。
==> TYPE I ... 完了しました。 ==> CWD /qmail ... 完了しました。
==> SIZE qmail-1.03.tar.gz ... 完了しました。
==> PASV ...

CTRL+Cで中断

[root@centos ~]# modprobe -r ip_conntrack_ftp

[root@centos ~]# lsmod|grep ip_conntrack_ftp

[root@centos ~]# wget ftp://ftp.jp.qmail.org/qmail/qmail-1.03.tar.gz
--10:10:32-- ftp://ftp.jp.qmail.org/qmail/qmail-1.03.tar.gz
=> `qmail-1.03.tar.gz'
ftp.jp.qmail.org をDNSに問いあわせています... 202.41.218.243
ftp.jp.qmail.org|202.41.218.243|:21 に接続しています... 接続しました。
anonymous としてログインしています... ログインしました!
==> SYST ... 完了しました。 ==> PWD ... 完了しました。
==> TYPE I ... 完了しました。 ==> CWD /qmail ... 完了しました。
==> SIZE qmail-1.03.tar.gz ... 完了しました。
==> PASV ... 完了しました。 ==> RETR qmail-1.03.tar.gz ... 完了しました。

[ <=> ] 220,668 567K/s in 0.4s

10:10:32 (567 KB/s) - `qmail-1.03.tar.gz' を保存しました [220668]

なぜこういう事象になるのかは調査中です。
記事編集 編集
Re: iptablesについて確認願います。 このメッセージに返信する
日時: 2007/05/25 17:17
名前: Comet
URL:
管理人 様
お忙しい中、確認頂きありがとうございます。
ip_conntrack_ftpがwgetの邪魔をする件は海外サイトでもBBSで話題に上がっていました。
色々な説が飛び交っていたようで、バグ・環境依存・etc…。
結局原因は何なんだ!?と時間を見てはgoogleで飛び回っています。
飛び回っている最中にウィルストラップに被爆したのは内緒ですが…。

modprobe -r ip_conntrack_ftp

上記アドバイスのおかげでwgetの度にiptablesを停止する作業から開放されました。
apenic、lacnic、ripenccからリストを下ろして適用なので、
かなりストレスな作業になってました。ありがとうございます。

引き続き、力が及ぶか不明ですが私の方でも原因を探してみようと思います。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -