Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: iptables тормозит  (Прочитано 1994 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн lega911

  • Автор темы
  • Участник
  • *
  • Сообщений: 203
    • Просмотр профиля
    • python & linux
iptables тормозит
« : 26 Июля 2010, 06:29:07 »
вот такие правила
Цитировать
#!/bin/sh
iptables -F # remove rules

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 172.16.36.2 -j ACCEPT

# enables ports
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.111.2 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.36.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.35.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.253.0/24 -j ACCEPT

iptables -A INPUT -j DROP
после этого при обращении к порту 8090, страница открывается но очень медленно( целую минуту), а 80 порт открывается мгновенно, как и должен.
в чем проблема?

Пользователь решил продолжить мысль 26 Июля 2010, 06:31:57:
кстати я обращаюсь к хосту с 172,16,36,2
т.е. должно выполняться 2-е правило: iptables -A INPUT -s 172.16.36.2 -j ACCEPT

вот iptables-save
Цитировать
$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Mon Jul 26 08:32:12 2010
*filter
:INPUT ACCEPT [36010594:9246502211]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [38934742:9723823295]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 172.16.36.2/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.111.2/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.36.0/24 -p tcp -j ACCEPT
-A INPUT -s 172.16.35.0/24 -p tcp -j ACCEPT
-A INPUT -s 172.16.253.0/24 -p tcp -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Mon Jul 26 08:32:12 2010

Пользователь решил продолжить мысль 26 Июля 2010, 06:39:14:
методом исключения выявил что тормоза из-за: iptables -A INPUT -j DROP
хотя мои пакеты не должны до этого правила доходить :(
« Последнее редактирование: 26 Июля 2010, 06:39:14 от lega911 »

Оффлайн W03L

  • Участник
  • *
  • Сообщений: 128
    • Просмотр профиля
Re: iptables тормозит
« Ответ #1 : 26 Июля 2010, 06:43:47 »
попробуй заменить
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
на
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT

Оффлайн lega911

  • Автор темы
  • Участник
  • *
  • Сообщений: 203
    • Просмотр профиля
    • python & linux
Re: iptables тормозит
« Ответ #2 : 26 Июля 2010, 06:52:17 »
не помогло

Пользователь решил продолжить мысль 26 Июля 2010, 06:53:53:
ппц. глюки
выполнил команду: iptables -F
что-б очистить правила, и хост заблокировался, терь к нему вообще доступа нет :(
« Последнее редактирование: 26 Июля 2010, 06:54:13 от lega911 »

Оффлайн W03L

  • Участник
  • *
  • Сообщений: 128
    • Просмотр профиля
Re: iptables тормозит
« Ответ #3 : 26 Июля 2010, 06:56:02 »
попробуй тогда всем всё пока резрешить
INPUT, FORWARD, OUTPUT - все ACCEPT (без параметров)

Оффлайн lega911

  • Автор темы
  • Участник
  • *
  • Сообщений: 203
    • Просмотр профиля
    • python & linux
Re: iptables тормозит
« Ответ #4 : 26 Июля 2010, 07:29:29 »
восстановил доступ,
убил все правила. пока норм. но нужно как-то защищать комп...

Оффлайн W03L

  • Участник
  • *
  • Сообщений: 128
    • Просмотр профиля
Re: iptables тормозит
« Ответ #5 : 26 Июля 2010, 07:41:53 »
восстановил доступ,
убил все правила. пока норм. но нужно как-то защищать комп...
добавляй правила по одному и смотри, на каком будет глючить

Оффлайн lega911

  • Автор темы
  • Участник
  • *
  • Сообщений: 203
    • Просмотр профиля
    • python & linux
Re: iptables тормозит
« Ответ #6 : 26 Июля 2010, 07:45:50 »
на данный момент так:
Цитировать
$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Mon Jul 26 09:42:42 2010
*filter
:INPUT ACCEPT [16292:3568769]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8098 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 172.16.36.2/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.111.2/32 -p tcp -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Mon Jul 26 09:42:42 2010

глюк сохраняется

Пользователь решил продолжить мысль 26 Июля 2010, 07:57:53:
восстановил доступ,
убил все правила. пока норм. но нужно как-то защищать комп...
добавляй правила по одному и смотри, на каком будет глючить

тормоза появляются из-за этого правила:  iptables -A INPUT -j DROP

Пользователь решил продолжить мысль 26 Июля 2010, 08:01:04:
кстате на прошлой неделе все нормально работало с этими правилами

Пользователь решил продолжить мысль 26 Июля 2010, 08:13:39:
решил проблему, дописал

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT


Пользователь решил продолжить мысль 26 Июля 2010, 08:17:07:
вот , это правило: iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

получается хост не мог сам к себе к dnsобратится
« Последнее редактирование: 26 Июля 2010, 08:17:07 от lega911 »

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: iptables тормозит
« Ответ #7 : 26 Июля 2010, 11:57:23 »
В INPUT нужно обязательно разрешать:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

Оффлайн lega911

  • Автор темы
  • Участник
  • *
  • Сообщений: 203
    • Просмотр профиля
    • python & linux
Re: iptables тормозит
« Ответ #8 : 26 Июля 2010, 12:21:42 »
В INPUT нужно обязательно разрешать:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

это для того что-б: локальная прога получала сразу сообщение об ошибке вместо ожидания таймаута?
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: iptables тормозит
« Ответ #9 : 26 Июля 2010, 12:53:36 »
Да. И еще, если пакет не пролезает на одном из промежуточных роутеров, то c destination-unreachable приходит максимально допустимый размер окна (mtu).

Оффлайн madaxus

  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Re: iptables тормозит
« Ответ #10 : 26 Июля 2010, 12:58:25 »
на данный момент так:
Цитировать
$ -A INPUT -s 127.0.0.1/32 -p tcp -j ACCEPT
...
вот , это правило: iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
получается хост не мог сам к себе к dnsобратится
Смотри внимательно:
$ -A INPUT -s 127.0.0.1/32 -p tcp -j ACCEPT Зачем -tcp ? Конечно он не мог.
Сделай хотя бы так:
$ -A INPUT -s 127.0.0.1/32 -j ACCEPT

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: iptables тормозит
« Ответ #11 : 26 Июля 2010, 13:05:22 »
Сделай хотя бы так:
$ -A INPUT -s 127.0.0.1/32 -j ACCEPT
А лучше так: iptables -A INPUT -i lo -j ACCEPT

Оффлайн lega911

  • Автор темы
  • Участник
  • *
  • Сообщений: 203
    • Просмотр профиля
    • python & linux
Re: iptables тормозит
« Ответ #12 : 26 Июля 2010, 13:14:20 »
Зачем -tcp ? Конечно он не мог.
Сделай хотя бы так:
так и сделал сразу после своего сообщения, сейчас переправил как посоветовал Mam(O)n

Оффлайн madaxus

  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Re: iptables тормозит
« Ответ #13 : 26 Июля 2010, 13:15:44 »
Вот молодец :)
P.S.: что-то я сегодня нервный... что же мне от ангины то вкапали...
нет, пожалуй, сама ангина нервирует.
« Последнее редактирование: 26 Июля 2010, 13:19:00 от madaxus »

 

Страница сгенерирована за 0.052 секунд. Запросов: 23.