Firewall deixando servidor lento
Caros amigo do UnderLinux, estou abilitando o seguinte script de firewall em meu servidor web/e-mail/dns porem apos habilitar o script o envio de e-mail, fika muito lento, tando pelo Outlook Express e Webmail, segue abaixo as regras, oq posso ter feito de errado.
### Define as variaveis
IPT=/usr/sbin/iptables
PORTAS_TCP=21,22,25,53,80,110,3306
PORTAS_UDP=53
#### Limpa as Regras
$IPT -F
$IPT -X
$IPT -Z
#### Define a Politica Padrao
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#### Libera o interface LO
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#### Bloquear ping
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP
#### Libera as portas
$IPT -A INPUT -m multiport -p tcp --dports $PORTAS_TCP -j ACCEPT
$IPT -A INPUT -m multiport -p udp --dports $PORTAS_UDP -j ACCEPT
#### Estabiliza as conexoes
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Re: Firewall deixando servidor lento
por causa disso:
$IPT -P FORWARD DROP
vc ta bloqueando tudo e dps spoh libera conexoes estabelecidas, provavelmente o problema eh o DNS, vc nao ta conseguindo resolver dns internamente e ai demoooora, libera o forward pra ele e ve se melhora
a sim, coloque a regra pradisso pra forward tb
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Re: Firewall deixando servidor lento
Meu amigo ja resolvi era problema com meu dns reverso, valeu. Porem o que posso fazer pra melhorar a segurança de meu firewall???
Re: Firewall deixando servidor lento
São apenas sugestões:
PORTAS_TCP=21,22,25,53,80,110,3306
# Pq liberar 110 para fora??? Quem quiser acessar de fora só por webmail....
# Não se esqueça serviço POP, senha em clear text
# Porta 80??? Para webmail?? só libere 443 para https
# 3306? Quem precisa acessar o MySQL de fora?
PORTAS_UDP=53
#### Limpa as Regras
$IPT -F
$IPT -X
$IPT -Z
#### Define a Politica Padrao
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
# Drope também a saída --> $IPT -P OUTPUT DROP
# Libere a saída abaixo
#### Libera o interface LO
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#### Bloquear ping
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP
#### Libera as portas
$IPT -A INPUT -m multiport -p tcp --dports $PORTAS_TCP -j ACCEPT
$IPT -A INPUT -m multiport -p udp --dports $PORTAS_UDP -j ACCEPT
# Configure a saída
$IPT -A OUTPUT -m multiport -p tcp --sports $PORTAS_TCP -j ACCEPT
$IPT -A OUTPUT -m multiport -p udp --sports $PORTAS_UDP -j ACCEPT
#### Estabiliza as conexoes
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
