Avatar billede blueprint Nybegynder
26. december 2002 - 14:57 Der er 26 kommentarer og
2 løsninger

Firewall sløver services ned?

Som titlen antyder, sløver min firewall (iptables v. 1.2.5) nogle af mine services ned(før i tiden FTP, og Telnet, men nu er det primært SSH, men ej HTTP/S), dvs. er den slået helt fra, kører alle ganske glimrende, og disse services er dog betinget til kun at være SSH/HTTP/HTTPS. Umiddelbart ville man tro at man ved at definerer TOS muligvis kunne rette op på noget? men dette hjælper ikke....

-----
echo 0 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
iptables -t mangle -F

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -p TCP --dport 22 -j ACCEPT

iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10
-----
Avatar billede dank Nybegynder
26. december 2002 - 15:04 #1
det lyder nu meget mærkeligt.. hvordan kan du vide det er din firewall? Og hvad mener du med at den sløver ting ned? forklar nærmere
Avatar billede blueprint Nybegynder
26. december 2002 - 16:32 #2
Det er som sagt, primært, SSH som bliver ekstrem sløv, dvs. et langt delay, med andre ord. Det samme med SMTP/POP3 da jeg kørte disse services, der skulle jeg hele tiden trykke Retry, eller Wait, da det tog for lang tid at connect, den kunne sagtens i sidste ende, men det tog virkelig sin tid. Slog jeg derimod firewallen fra, eller flushede reglerne, virkede de ovennævnte services med det samme....?

Håber det siger lidt mere..
Avatar billede lap Nybegynder
26. december 2002 - 19:18 #3
Kan det være dns, som ikke slipper igennem?
Avatar billede blueprint Nybegynder
26. december 2002 - 21:25 #4
Hmm...Aner det virkelig ikke? Umiddelbart når jeg logger på fra en klient(puTTY fra Win.) Kommer den hurtigt, uden det store delay og spørger om brugernavn, men når dette så er indtastet, varer det meget længe før den har tygget sig igennem dette og så spørger om password? (Dette gør den ej, når firewallen er slået fra.) Når jeg så kører mailserver ved benyttelse af SMTP og POP, bliver disse services også yderst langsomme, når firewallen er slået til, vi snakker mere end flere minutter om at connecte til serveren, fra en win. klient (Outlook Express), men igen, når firewallen er slået helt fra, finder den det hele korrekt, og virkelig hurtigt......

Det underlige er dog, at HTTP/S overhoved ikke er påvirket uanset om firewallen er slået til/fra?
Avatar billede lap Nybegynder
26. december 2002 - 21:29 #5
når du kører putty, pop3 og smtp, så forbinder du dig til serveren, hvorimod når du kører http/s, så forbinder du dig igennem serveren?

Hvordan er dns opsat på hhv. klient og fw (cat /etc/resolv.conf)?

Jeg bruger selv adsl/tdc, og har problemer med at de overskriver min resolv.conf (rh gør det) - og det ødelægger mit reverse lookup til lokale maskiner.

Har du prøvet at sætte din pc's ip-adresse/navnind i /etc/hosts på fw?
Avatar billede dank Nybegynder
26. december 2002 - 21:45 #6
det lyder som reverse dns
Avatar billede lap Nybegynder
26. december 2002 - 21:46 #7
Hej enig - derfor forsøget med /etc/hosts - ofte er nsswitch.conf sat til "files dns".
Avatar billede dank Nybegynder
26. december 2002 - 21:47 #8
1: hent rpm'erne til bind
2: installer dem
3: sæt 127.0.0.1 i første linie i /etc/resolv.conf
4: start bind med /etc/init.d/named start
Avatar billede lap Nybegynder
26. december 2002 - 21:48 #9
Men det vil vel ikke løse problemet med at resolve adresser på maskiner på lan? Der skal vel først oprettes en zone-fil for lan, da forespørgslen ellers vil blive sendes ud i verden - og forsinkelsen vil fortsat være der.
Avatar billede dank Nybegynder
26. december 2002 - 22:11 #10
jeg mener at bind rpm pakken kommer med zoner for lan

problemet kan også pludselig være opstået fordi en af de 13 root servere ikke vil resolve lan adresser. Tro det eller ej.. det har root serverne faktisk gjort længe.
Avatar billede langbein Nybegynder
31. december 2002 - 15:14 #11
Vedrørende eventuell forsinkelse i firewall ..:
Har lurt litt på om dette faktisk kan skje når firewall rules blir til lange besvergelser med mange innviklede regler som alle ip pakkene skal vurderes opp mot. Har forsøkt å teste litt i den forbindelse. Jeg tror (men jeg er ikke sikker på at det stemmer) at man kan observere en reduksjon i hastighet gjennom firewall og effektiv internetthastighet på 1-2 % i målt hastighet. Dette er imilertid ikke noe man merker noe til i praksis. Hastigheten til firewall/router vil jo normalt være vesentlig større enn den hastigheten man har tilgjengelig for ekstern tilkopling til internett.
Avatar billede rr-web Nybegynder
06. januar 2003 - 12:06 #12
Jeg har haft samme problem.

Det der er i det, er at du i /etc/hosts har dine to netkort, der skal du sætte et navn på hver netkort.

Så skal du lige genstarte og du er oppe og køre :)
Avatar billede langbein Nybegynder
06. januar 2003 - 21:05 #13
rr-web -> Interessant mulighet. Så det er mulig å definere to netkort i /etc/hosts ?? Hvordan gjør man det rent praktisk ? Hva med et lite eksempel ?? :-)
Avatar billede rr-web Nybegynder
06. januar 2003 - 21:22 #14
jeg har desværre ikke adgang til en Linux maskine lige nu, men tag lige og poste en hosts fil så skal jeg lige vise hvad jeg mener.

Det der gør at hele processen sløves, er at hvis du eks. laver et ssh call til det interne netkort, så kan den ikke finde ud af tingene, da der for det meste står samme alias for begge netkort.

De skal bare navngives med eks: intern og ekstern, og hupti så kører vi for fuld kraft :)
Avatar billede blueprint Nybegynder
07. januar 2003 - 21:20 #15
Jeg har snart prøvet alle muligheder, og intet virker, jo, ftp kører ganske glimrende, hvis jeg tilføjer den eventuelle klient til "hosts" filen...(som nævnt af dank, pga. reverse dns...)

>> rr-web, synes at dit foreslag lyder bekendt? Tror jeg så noget lignende postet somewhere?!...Well, nedenstående er et udsnit af min /etc/hosts fil:

# /etc/hosts
127.0.0.1        localhost.localdomain localhost

Hvad ville du så gøre?
lo          hostnavn
eth0        hostnavn
??
Avatar billede blueprint Nybegynder
07. januar 2003 - 21:39 #16
eller eksempelvis:
192.168.0.1  eth0  hostnavn
?
Avatar billede blueprint Nybegynder
07. januar 2003 - 22:12 #17
>>rr-web
Korrekt nok, at hvis man tilføjer eth0's IP, til hosts filen, så kan man connect meget hurtigt via SSH, men dette løser ej problemet med f.eks. smtp/pop.. Det var vel ikke denne metode du mente?..
Avatar billede rr-web Nybegynder
07. januar 2003 - 23:12 #18
både ja og nej..... Smtp skal du ind i sendmail.conf filen og definere hvilken eller hvilke devices den skal lytte på :)
Avatar billede rr-web Nybegynder
07. januar 2003 - 23:13 #19
skriv lige dine ip´er samt eth devices, og udover dette din domain name og hostname
Avatar billede blueprint Nybegynder
08. januar 2003 - 10:58 #20
..better yet rr-web, giv mig blot et eksempel?
forestil dig, at jeg havde følgende oplysninger, hvad ville du så bikse sammen:
192.168.0.1  eth0  test.domain.dk  test

? :)
Avatar billede rr-web Nybegynder
08. januar 2003 - 11:06 #21
så vil jeg gøre sådan i min hosts fil:

# /etc/hosts
127.0.0.1        localhost.localdomain localhost
192.168.0.1      intern.mitdomain.dk  intern
192.168.110.1    extern.mitdomain.dk  extern


Bare husk at du ikke må bruge localdomain da der tit opstår fejl ang. netværk services. men det er vigtigt at du konf. din sendmail filer osv.
Avatar billede blueprint Nybegynder
08. januar 2003 - 12:47 #22
>> rr-web
Okay..Som nævnt har jeg allerede prøvet denne mulighed, og ja, denne løser noget at som udgør mit problem i en helhed. Jeg er vel så nødt til, at konfigurere alle mine services derudover, til ikke at benytte reverse lookups..

Godt så. Jeg fordeler point mellem jer alle. (dank og langbein, smid et svar)
Avatar billede langbein Nybegynder
08. januar 2003 - 20:19 #23
Nei, har vel egentlig ikke bidratt med så mye, men her er da et svar :-)
Avatar billede langbein Nybegynder
08. januar 2003 - 20:26 #24
Jo, så enkelt kan det vel egentlig gjøres. Først så lager man i utgangspunktet en tilordning mellom nettverkort og ip adresse ved konfigurering av nettverkskortet, og så videre der i fra så lager man en tilordning mellom ip adresse og logisk navn ekesempelvis intern.mitdomain.dk i etc hosts. Derved så har man gjennom disse to ledd også indirekte en tilordning mellom lagisk navn og adapternavn, dvs eth0, eth1 osv. Hmm .. , jo selvfølgelig ! Bra !
Avatar billede rr-web Nybegynder
08. januar 2003 - 20:28 #25
hvem får svaret ?
Avatar billede blueprint Nybegynder
08. januar 2003 - 22:31 #26
>> rr-web
Jer som har svaret! :D
Avatar billede rr-web Nybegynder
09. januar 2003 - 07:23 #27
langbein >> er du enig med mig i mit svar ???
Avatar billede langbein Nybegynder
09. januar 2003 - 07:36 #28
Ja, så absolutt. Egentlig så har jeg nok ikke testet ut alle sider ved svaret i forhold til spørsmålet, men synes helt klart det ser helt riktig ut !!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester