LINUX.ORG.RU
ФорумAdmin

iptables жуткие тормоза!

 


1

2

Приветсвую! iptables жутко тормозит. Набираю iptables -L секунд 20 жду вывода таблицы. Делаю запрос web страницы, то-же тормоза.

#
*filter
-F
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
#
# Разрешаем трафик с петлевого интерфейса
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
#
# Разрешаем входящие и исходящие пинги
-A OUTPUT -p icmp -m icmp -d 18.54.65.XX --icmp-type 8/0 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
#
# Разрешаем установленные подключения
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
################# Защита от распространенных атак #####################
#
# Отбросим все пакеты, которые не имеют никакого статуса
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
#
# Блокируем нулевые пакеты
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#
# Защищаемся от разведывательных пакетов XMAS
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#
# Закрываемся от syn-flood атак
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
-A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#
######## Открываем доступ по следующим портам #########
#
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -i bound0 -p tcp --dport 445 -j ACCEPT
-A INPUT -i bound0 -p tcp --dport 465 -j ACCEPT
-A INPUT -i bound0 -p udp --dport 137 -j ACCEPT
-A INPUT -i bound0 -p udp --dport 138 -j ACCEPT
#
###### Включаем логи по заблокированным пакетам ########
#
-N block_in
-N block_out
-A INPUT -j block_in
-A OUTPUT -j block_out
-A block_in -j LOG  --log-level info --log-prefix "--IN--BLOCK"
-A block_in -j DROP
-A block_out -j LOG  --log-level info --log-prefix "--OUT--BLOCK"
-A block_out -j DROP
#
COMMIT
#
В чем прикол?

В том, что ты DNS криво настроил

И посмотри в man, зачем нужен ключ «-n»

router ★★★★★ ()
Последнее исправление: router (всего исправлений: 1)

Набираю iptables -L секунд 20 жду вывода таблицы.
Делаю запрос web страницы, то-же тормоза.

Пахнет криво настроенным DNS

Update: тред не читай - сразу отвечай :-)

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Black_Shadow

sudo iptables -L -v -n, Ключ n исключит ДНС запросы для просмотра таблицы, но ДНС запросы от этого ходить не начнут. Никак не могу корректное правило подобрать для 53 порта.

-A INPUT -p udp --dport 53 -j ACCEPT
-A ОUTPUT -p udp --dport 53 -j ACCEPT
Это не сработало. Мультипортом то же не сработало.
-A INPUT -p tcp -m multiport --dports 22,53,80 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 22,53,80 -j ACCEPT
Где еще накосячил?
pohuy@nahuy:~$ sudo iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 code 0 state NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
DROP       all  --  0.0.0.0/0            0.0.0.0/0            state INVALID
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x00
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x3F
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:465
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:55414
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:55415
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:138
DROP       all  --  222.186.0.0/16       0.0.0.0/0
DROP       all  --  218.92.0.0/24        0.0.0.0/0
DROP       all  --  206.81.8.0/24        0.0.0.0/0
DROP       all  --  49.235.0.0/16        0.0.0.0/0
block_in   all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0            state INVALID

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            185.199.10.200       icmptype 8 code 0 state NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
block_out  all  --  0.0.0.0/0            0.0.0.0/0

Chain block_in (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "--IN--BLOCK"
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain block_out (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "--OUT--BLOCK"
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Humaxoid ()
Ответ на: комментарий от Humaxoid
-A INPUT -p udp --dport 53 -j ACCEPT

dport в input? Нафига? У тебя dns-сервер?

Да и первая строка должна делать все остальные правила в input бессмысленные

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

«iptables -nvxL» или iptables-save - это правильный вывод правил. Все остальное скрывает полезную информацию.

vel ★★★★★ ()
Последнее исправление: vel (всего исправлений: 2)
Ответ на: комментарий от vel

Спасибо парни! Всё заработало. Кроме настроек 53 порта нашел еще ошибку в правилах

-A OUTPUT -p icmp -m icmp -d 18.54.65.XX --icmp-type 8/0 -m state --state NEW -j ACCEPT
Вместо -d 18.54.65.XX для исходящего правила должно быть -s 18.54.65.XX. Дальше следующее правило.Зададим порт назначения порт назначения 53 в цепочке для исходящего правила.
-A OUTPUT -p udp --dport 53 -j ACCEPT

<Да и первая строка должна делать все остальные правила в input бессмысленные

Вот с этим я честно говоря не понял.

ACCEPT     all  --  0.0.0.0/0       0.0.0.0/0
Какие правила сформировали эту строку? Вроде в правилах все ровно. Как и положено сначала дропаю всё и вся, потом начинаю открывать протоколы, порты и.т.д.

Humaxoid ()
Ответ на: комментарий от vel

Да и первая строка должна делать все остальные правила в input бессмысленные
ACCEPT all  — 0.0.0.0/0 0.0.0.0/0

Это судя по топику lo. Вы правильно написали как надо смотреть правила, а тут чуток промахнулись :)

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)

добавляй правила по одному и смотри - на каком будет глючить.

DIZZAYNER ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей