26. december 2002 - 14:57Der er
26 kommentarer og 2 løsninger
Firewall sløver services ned?
Som titlen antyder, sløver min firewall (iptables v. 1.2.5) nogle af mine services ned(før i tiden FTP, og Telnet, men nu er det primært SSH, men ej HTTP/S), dvs. er den slået helt fra, kører alle ganske glimrende, og disse services er dog betinget til kun at være SSH/HTTP/HTTPS. Umiddelbart ville man tro at man ved at definerer TOS muligvis kunne rette op på noget? men dette hjælper ikke....
Det er som sagt, primært, SSH som bliver ekstrem sløv, dvs. et langt delay, med andre ord. Det samme med SMTP/POP3 da jeg kørte disse services, der skulle jeg hele tiden trykke Retry, eller Wait, da det tog for lang tid at connect, den kunne sagtens i sidste ende, men det tog virkelig sin tid. Slog jeg derimod firewallen fra, eller flushede reglerne, virkede de ovennævnte services med det samme....?
Hmm...Aner det virkelig ikke? Umiddelbart når jeg logger på fra en klient(puTTY fra Win.) Kommer den hurtigt, uden det store delay og spørger om brugernavn, men når dette så er indtastet, varer det meget længe før den har tygget sig igennem dette og så spørger om password? (Dette gør den ej, når firewallen er slået fra.) Når jeg så kører mailserver ved benyttelse af SMTP og POP, bliver disse services også yderst langsomme, når firewallen er slået til, vi snakker mere end flere minutter om at connecte til serveren, fra en win. klient (Outlook Express), men igen, når firewallen er slået helt fra, finder den det hele korrekt, og virkelig hurtigt......
Det underlige er dog, at HTTP/S overhoved ikke er påvirket uanset om firewallen er slået til/fra?
når du kører putty, pop3 og smtp, så forbinder du dig til serveren, hvorimod når du kører http/s, så forbinder du dig igennem serveren?
Hvordan er dns opsat på hhv. klient og fw (cat /etc/resolv.conf)?
Jeg bruger selv adsl/tdc, og har problemer med at de overskriver min resolv.conf (rh gør det) - og det ødelægger mit reverse lookup til lokale maskiner.
Har du prøvet at sætte din pc's ip-adresse/navnind i /etc/hosts på fw?
Men det vil vel ikke løse problemet med at resolve adresser på maskiner på lan? Der skal vel først oprettes en zone-fil for lan, da forespørgslen ellers vil blive sendes ud i verden - og forsinkelsen vil fortsat være der.
jeg mener at bind rpm pakken kommer med zoner for lan
problemet kan også pludselig være opstået fordi en af de 13 root servere ikke vil resolve lan adresser. Tro det eller ej.. det har root serverne faktisk gjort længe.
Vedrørende eventuell forsinkelse i firewall ..: Har lurt litt på om dette faktisk kan skje når firewall rules blir til lange besvergelser med mange innviklede regler som alle ip pakkene skal vurderes opp mot. Har forsøkt å teste litt i den forbindelse. Jeg tror (men jeg er ikke sikker på at det stemmer) at man kan observere en reduksjon i hastighet gjennom firewall og effektiv internetthastighet på 1-2 % i målt hastighet. Dette er imilertid ikke noe man merker noe til i praksis. Hastigheten til firewall/router vil jo normalt være vesentlig større enn den hastigheten man har tilgjengelig for ekstern tilkopling til internett.
rr-web -> Interessant mulighet. Så det er mulig å definere to netkort i /etc/hosts ?? Hvordan gjør man det rent praktisk ? Hva med et lite eksempel ?? :-)
jeg har desværre ikke adgang til en Linux maskine lige nu, men tag lige og poste en hosts fil så skal jeg lige vise hvad jeg mener.
Det der gør at hele processen sløves, er at hvis du eks. laver et ssh call til det interne netkort, så kan den ikke finde ud af tingene, da der for det meste står samme alias for begge netkort.
De skal bare navngives med eks: intern og ekstern, og hupti så kører vi for fuld kraft :)
Jeg har snart prøvet alle muligheder, og intet virker, jo, ftp kører ganske glimrende, hvis jeg tilføjer den eventuelle klient til "hosts" filen...(som nævnt af dank, pga. reverse dns...)
>> rr-web, synes at dit foreslag lyder bekendt? Tror jeg så noget lignende postet somewhere?!...Well, nedenstående er et udsnit af min /etc/hosts fil:
>>rr-web Korrekt nok, at hvis man tilføjer eth0's IP, til hosts filen, så kan man connect meget hurtigt via SSH, men dette løser ej problemet med f.eks. smtp/pop.. Det var vel ikke denne metode du mente?..
..better yet rr-web, giv mig blot et eksempel? forestil dig, at jeg havde følgende oplysninger, hvad ville du så bikse sammen: 192.168.0.1 eth0 test.domain.dk test
>> rr-web Okay..Som nævnt har jeg allerede prøvet denne mulighed, og ja, denne løser noget at som udgør mit problem i en helhed. Jeg er vel så nødt til, at konfigurere alle mine services derudover, til ikke at benytte reverse lookups..
Godt så. Jeg fordeler point mellem jer alle. (dank og langbein, smid et svar)
Jo, så enkelt kan det vel egentlig gjøres. Først så lager man i utgangspunktet en tilordning mellom nettverkort og ip adresse ved konfigurering av nettverkskortet, og så videre der i fra så lager man en tilordning mellom ip adresse og logisk navn ekesempelvis intern.mitdomain.dk i etc hosts. Derved så har man gjennom disse to ledd også indirekte en tilordning mellom lagisk navn og adapternavn, dvs eth0, eth1 osv. Hmm .. , jo selvfølgelig ! Bra !
Ja, så absolutt. Egentlig så har jeg nok ikke testet ut alle sider ved svaret i forhold til spørsmålet, men synes helt klart det ser helt riktig ut !!
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
