Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1543 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP not working well with SYN Rate Limiter ON

BarryG
After installing our new ASL 5.200 firewall, customers are complaing about not being able to upload ZIP files to our FTP site.

I have confirmed this is true; small files (Code:
  2005:04:20-10:33:56 (none) kernel: DROP: IN=eth1 OUT=eth0 SRC=xxx.xxx.48.21 DST=199.107.154.233 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=10567 DF PROTO=TCP SPT=2703 DPT=32790 WINDOW=8280 RES=0x00 ACK FIN URGP=0
2005:04:20-10:33:56 (none) kernel: DROP: IN=eth0 OUT=eth1 SRC=199.107.154.233 DST=xxx.xxx.48.21 LEN=1420 TOS=0x00 PREC=0x00 TTL=51 ID=2041 DF PROTO=TCP SPT=32790 DPT=2703 WINDOW=5840 RES=0x00 ACK URGP=0
2005:04:20-10:34:22 (none) kernel: DROP: IN=eth1 OUT=eth0 SRC=xxx.xxx.48.21 DST=199.107.154.233 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=57430 DF PROTO=TCP SPT=2703 DPT=32790 WINDOW=8280 RES=0x00 ACK FIN URGP=0
2005:04:20-10:34:31 (none) kernel: DROP: IN=eth0 OUT=eth1 SRC=199.107.154.233 DST=xxx.xxx.48.21 LEN=1420 TOS=0x00 PREC=0x00 TTL=51 ID=2043 DF PROTO=TCP SPT=32790 DPT=2703 WINDOW=5840 RES=0x00 ACK URGP=0
2005:04:20-10:35:14 (none) kernel: DROP: IN=eth1 OUT=eth0 SRC=xxx.xxx.48.21 DST=199.107.154.233 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=31354 DF PROTO=TCP SPT=2703 DPT=32790 WINDOW=8280 RES=0x00 ACK FIN URGP=0
 

Where 199... is the client and xxx... is our server behind ASL.

I have the FTP connection helper enabled.

AFAICS, turning off the SYN Rate Limiter fixes the problem.
This doesn't make sense to me.

Also, I don't think my ASL 5.2 box at home has this problem with FTP transfers, but I can't try it right now.

Thanks,
Barry


This thread was automatically locked due to age.
  • 0
    FWIW, this was using Passive FTP.

    I'll try active later, but that's probably not going to be an option for our clients.

    Thanks,
    Barry
  • 0 in reply to BarryG
    Customer is still reporting problems with SYN limiter off... anyone have any ideas?

    Thanks,
    Barry
  • 0 in reply to BarryG
    Seems that astaro working on a fix for that, my collegue opened a case for this.

    Astaro Support said that its a known Problem that the middleware deletes entries of the connection tracking table, it will be fixed soon etc...

    B
  • 0 in reply to bbb_01
    ACK!
    Is there any workaround?

    Thanks,
    Barry
  • 0 in reply to BarryG
    I sure Astaro finds a fix for  this. I always thought the FTP problems I had were the users fault

    Dan
  • 0 in reply to bbb_01
    bbb, do you have a case # or anything like that?

    Astaro today tells me there are no issues with FTP.

    Thanks,
    Barry
  • 0 in reply to BarryG
    CaseID 00015140  --  FTP- Downloads,

    "Download Problems of bigger Files and different URL's.
    Downloads get cancelled and Packets will be dropped then."

    B
  • 0 in reply to bbb_01
    Indeed there seems to be a general problem with the connection tracking table at the moment the middleware makes changes on the configuration or restarts. So if there a problems with the configuration which results in an looping middleware, there will also be a problem with the connection tracking table. This might lead to problems with downloads or uploads.

    Barry, in your case also small uploads should be affected by that problem sometimes. So I don't know, if you are affected by the problem bbb is affected of. To be sure you have to check your logfiles. Especially the middleware log. Also it might be a good idea to check your packetfilters at the moment the problem occures (Webadmin >> Packet Filter >> Advanced >> System Information).

    Anyway, there might be other reasons. Maybe a  general network problem. Are there packet drops on the interface? 'ifconfig'

    Xeno
  • 0 in reply to Xeno
    ifconfig shows no errors.
    Also, I don't believe this is a general network problem as it was fine with our 3.x ASL fw, and started happening immediately after replacing it with a new 5.x fw (HP DL145 w/ HP NIC)

    mdw.log does show lots of errors like this:
    Code:
    2005:04:22-01:31:18 (none) middleware[594]: modules::IPTables::Adapter::getUserN
    etwork() => Not enough arguments!
    2005:04:22-01:31:18 (none) middleware[594]: modules::IPTables::Adapters::smtp at
     /PerlApp/modules/IPTables/Adapters/smtp.pm line 94.
    2005:04:22-01:31:18 (none) middleware[594]: 
    2005:04:22-01:31:18 (none) middleware[594]: modules::Error::Error
    2005:04:22-01:31:18 (none) middleware[594]: modules::IPTables::Adapter::getUserN
    etwork
    2005:04:22-01:31:18 (none) middleware[594]: modules::IPTables::Adapters::smtp::g
    enerateRules
    2005:04:22-01:31:18 (none) middleware[594]: modules::IPTables::Adapter::generate
    All
    2005:04:22-01:31:18 (none) middleware[594]: modules::IPTables::Adapter::load
    2005:04:22-01:31:18 (none) middleware[594]: modules::Config::load
    2005:04:22-01:31:18 (none) middleware[594]: 
    2005:04:22-01:31:18 (none) middleware[594]:
     

    At most, this seems to be every minute or two.

    I don't know if smaller files are affected or not. I've only been able to reproduce it a few times, with > 1MB files.

    Thanks,
    Barry