CSF y bloqueos por demasiadas conexiones FTP

Hola,

Ultimamente estoy teniendo problemas con CSF y el FTP, conecto al FTP correctamente pero cuando descargo me bloquea por demasiadas conexiones, en el filezilla tengo marcadas las opciones de transferencias simultaneas a 2.En CSF tengo ct_limit en 400

Uso WHM/CPANEL
No se por donde puede venir el error.

Gracias.
Un saludo.

 

Por cierto, solo me pasa con Filezilla, con otros gestores FTP no pasa.

 

¿Cuál es el log que te envía CSF?

 

Connections: 432

Blocked: Temporary Block



Connections:

tcp: IP_origen -> IP_destino:34557 (SYN_RECV)

tcp: IP_origen:51049 -> IP_destino:34455 (TIME_WAIT)

tcp: IP_origen:51165 -> IP_destino:33855 (TIME_WAIT)

tcp: IP_origen:51003 -> IP_destino:31252 (TIME_WAIT)

 

En CSF >> Conection Tracking configura CT_SKIP_TIME_WAIT = 1
para evitar que los timewait sean contabilizados como conexiones activas, luego de esto probablemente vas a querer disminuir el número máximo de conexiones, adicionalmente podrías reducir el Time Wait desde sysctl.conf

 

Datacenter1, el time_wait solo afecta al ftp? no se si esto CT_SKIP_TIME_WAIT estaba en versiones anteriores de CSF, pero diria que antes no pasaba.

No tengo muy claro en que me afecta si omito los time_wait, en cuanto a seguridad.

Gracias por la ayuda.

 

Time wait es el tiempo que una conexión permanece "abierta" luego de que una de las partes ha cerrado la conexión, en tu caso asumo que el time wait está a su valor por defecto, tu cliente ftp abre y cierra conexiones que van acumulándose como time wait y CSF termina bloqueandote la conexión

La raíz del problema es el tiempo que tienes definido como time wait, esto se controla en /etc/sysctl.conf pero es algo que no recomiendo modificar si no sabes bien que es lo que estás haciendo, la instrucción net.ipv4.tcp_keepalive_time = 1800 o incluso menor debe minimizar el problema

Configurar CSF para que ignore las conexiones en estado time_wait es bastante seguro sin embargo podría darse casos en los que un atacante intente saturar los puertos de conexión forzando time_wait en miles de conexiones

Una par de soluciones extras serían colocar tu ip en la lista de ips ignoradas o establecer ct_limit para los puertos 80 y 443

 

Time_wait es a nivel del servidor y afecta a todas las conexiones, sin embargo en CSF lo puedes configurar para ignorar conexiones en estado time_wait o incluso para limitar a que puertos aplica

 

Hola Datacenter1,

Probando lo que me dices de activar CT_SKIP_TIME_WAIT, o establecer ct_limit solo para los pueros 80 y 443, funciona.

Pero me gustaria poder hacerlo funcionar en todos los puertos, y que al conectar por ftp no me bloquee, no se si se os ocurre algo de porque me puede estar pasando esto, como dicje tenia activado en Filezilla no usar mas de 2 conexiones simultaneas, por lo que no deberia alcanzar el ct_limit de 400 y bloquearme, tambien he jugado con net.ipv4.tcp_keepalive_time = 1800 en un entorno de pruebas pero no noto ninguna diferencia.

Se agradece cualquier ayuda.

Gracias.

 

El puerto del servicio FTP es el 21, por si te sirve de algo.

 

Tengo el mismo problema, te funcionó para FTP? podrías publicar como hacerlo?saludos

 

Alex Villar, yo lo que hize al final fue activar CT_SKIP_TIME_WAIT = 1 , por el momento funciona bien.

 

¿Has probado ha cambiar el modo de acceso al FTP? En las configuraciones avanzadas de Filezilla puedes modificar el modo de FTP Pasivo a Activo?

 

En mi caso hacia lo mismo en ambos modos.

 

¿Has probado con otra versión diferente de Filezilla? Te recomiendo que descargues una versión anterior de Filezilla y vuelvas a comprobarlo.

 

merkaweb con versiones anteriores de Filezilla no ocurre, pero no es una solucion decirle a mis clientes que usen una version obsoleta

 

Puedes probar a cambiar en la configuración de Filezilla la opción "Use explicit FTP over TLS if available" por "Only use plain ftp (insecure)"

 

Merkaweb, la solucion a sido CT_SKIP_TIME_WAIT = 1 , lo de filezilla sigue pasando usando el podo que sea, es por las conexiones.