URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 30451
[ Назад ]

Исходное сообщение
"проблемма с Iptables"
Отправлено Alexey , 30-Май-03 06:24

Здравствуйте.
Есть следующая проблемма:
У меня RH 7.3 kernel 2.4.20 с поддержкой IPTABLES.
До этого была более ранняя версия kernel без оной поддержки.
Правила соответственно строились с использованием IPCHAINS.
Теперь о главном. Подход у меня следующий:
в файле rc.firewoll сначала чищу все цепочки
  ipchains -X
  ipchains -F
Затем открываю нужные порты
  ipchains -A INPUT -p tct --dport 20:21 -j ACCEPT
ну и т.д.
в конце ставлю

  ipchains -A INPUT -j DENY
т.е. все остальное запретить.
По аналогии построил правила с использованием IPTABLES.
Все стало жутко тормозить, например присоединение к ftp серверу длится секунд 10, и это в локальной 100-мегабитной сети.
Может что-то неверное в подходе?
Посоветуйте пожалуйста как быть.

Содержание

проблемма с Iptables,iiws, 06:48 , 30-Май-03
- проблемма с Iptables,Alexey, 09:15 , 30-Май-03
  - проблемма с Iptables,Boytronic, 14:59 , 30-Май-03
проблемма с Iptables,Mikhail, 09:55 , 30-Май-03

Сообщения в этом обсуждении

"проблемма с Iptables"
Отправлено iiws , 30-Май-03 06:48

>Здравствуйте.
>
>Есть следующая проблемма:
>У меня RH 7.3 kernel 2.4.20 с поддержкой IPTABLES.
>До этого была более ранняя версия kernel без оной поддержки.
>Правила соответственно строились с использованием IPCHAINS.
>Теперь о главном. Подход у меня следующий:
>в файле rc.firewoll сначала чищу все цепочки
>  ipchains -X
>  ipchains -F
>
>Затем открываю нужные порты
>
>  ipchains -A INPUT -p tct --dport 20:21 -j ACCEPT
>
>ну и т.д.
>
>в конце ставлю
>
>  ipchains -A INPUT -j DENY
>
>т.е. все остальное запретить.
>
>По аналогии построил правила с использованием IPTABLES.
>
>Все стало жутко тормозить, например присоединение к ftp серверу длится секунд 10,
>и это в локальной 100-мегабитной сети.
>Может что-то неверное в подходе?
>Посоветуйте пожалуйста как быть.
имхо айпитаблес тут непричем, резолвинг не настроен !

"проблемма с Iptables"
Отправлено Alexey , 30-Май-03 09:15

>имхо айпитаблес тут непричем, резолвинг не настроен !
Честно говоря, не понял - при чем тут резолвинг?
И если с консоли набрать
iptables -X
iptables -F
Все начинает летать. Когда был IPCHAIS все работало корректно.

"проблемма с Iptables"
Отправлено Boytronic , 30-Май-03 14:59

>
>>имхо айпитаблес тут непричем, резолвинг не настроен !
>
>Честно говоря, не понял - при чем тут резолвинг?
>
>И если с консоли набрать
>iptables -X
>iptables -F
>Все начинает летать. Когда был IPCHAIS все работало корректно.

а простите за нескромность ДНС запросы разрешено пускать ???
вот имено при этом и резолвинг...

"проблемма с Iptables"
Отправлено Mikhail , 30-Май-03 09:55

1) прибавь предпоследним правилом -l и глянь в логи
2) tcpdump - и смотреть, что происходит.
А вообще у ipchains и iptables несколько разная логика. Лучше разобраться.