Firewall e serviços lentos
Olá, caros amigos!
Implantei um firewall no meu servidor. Primeiramente setei todas as políticas das chains para DROP, exceto a OUTPUT, e fui liberando o que me interessava. Até aqui tudo bem, funcionou corretamente. Só que o problema, quando ativo o firewall, os serviços de smtp, ssh, telnet e outros desta máquina firewall ficam lentos. Estes serviços rodam na mesma máquina do firewall. Estou esquecendo de liberar portas ou tipo de pacotes?
Veja parte do meu firewall, com o exemplo do acesso ao SSH
# Limpar, excluir chains e zerar contadores
iptables -F
iptables -X
iptables -ZL
# Setar novas políticas às chains
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Liberar porta SSH (Ex.)
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
Gratos pela cooperação, aguardo retorno
[]´s
Marcelo Estanislau Geyer
Firewall e serviços lentos
E aí pessoal, ninguém consegue me ajudar?
Firewall e serviços lentos
Eh um simples conjunto de regras... estranho nao deveria ficar lento.
Qual o resto das regras? completo.
tem que verificar as outras portas.
esse firewall roda em um host? ou e um firewall de rede?
seria bom fazer o firewall ser stateful, consome mais cpu/memoria (EH POUCO TAH? penoso ... <IMG SRC="images/forum/icons/icon_smile.gif">) que adiciona mais seguranca .. e e bem emlhor..
coloque nas suas chains
-m state --state ESTABLISHED,RELATED -j ACCEPT
state NEW nao presciso explicar, bom ai voce pode fazer um setup de firewall um pouco mais "complexo" e seguro.
Bom liste todas suas regras e seus servicos. e estranho ficar lento.
Firewall e serviços lentos
Bom amigo Mystymst...
A regra é basicamente isso que coloquei...
A verdade é que vou melhorar a segurança fazendo esse SETUP de firewall mais complexo, como Ping da Morte, Spoof IP e outros. Fiz apenas esse básico para ver se realmente estava funcionando, aí observei que os serviços ficaram lentos... Estranho, pois uso RH9, com Athlon XP 1.7 e 512MB de RAM, Placa Off-board!!!
Os serviços que estou rodando, são FTP(21), DNS (53), SMTP (25), SSH (22), HTTP (80), POP3 (110) e IMAP (143).
O firewall é um host onde rodam estes mesmos serviços. É uma máquina apenas.
E as regras, além das que coloquei, são as que permitem conexões a essas portas que mencionei acima. Vou listar abaixo todas as regras básicas, que fazem os serviços ficarem lentos:
# Limpar, excluir chains e zerar contadores
iptables -F
iptables -X
iptables -ZL
# Setar novas políticas às chains
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Liberar portas
iptables -A INPUT -s 0/0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 143 -j ACCEPT
Reparei que o serviço HTTP não fica lento, levando a conclusão que serviços que necessitem de uma resolução reversa de nomes é que ficam lentos. A configuração do DNS não há erro... e agora? Será que é meu fim de bom roteirista de firewall.... hehehehe (brincadeirinha...)
Help, help.... hehehehe
[]´s
Marcelo Estanislau
Firewall e serviços lentos
ahhhhhhh voce falou tudo agora <IMG SRC="images/forum/icons/icon_smile.gif"> *DNS*
libere as portas de DNS 53 tcp e udp <IMG SRC="images/forum/icons/icon_smile.gif">
pode ser isso <IMG SRC="images/forum/icons/icon_smile.gif"> TENTE <IMG SRC="images/forum/icons/icon_smile.gif">
Firewall e serviços lentos
Caro amigo...
observe nas regras que coloquei acima que liberei estas portas...
Tanto udp quanto tcp.
Existe outra porta para resolução reversa, além da tradicional 53 do serviço DNS?
[]´s
Marcelo Estanislau.
Firewall e serviços lentos
Vc fez os repasses de pacotes???
Firewall e serviços lentos
Fiz um teste, mudando a política da chain FORWARD:
iptables -P FORWARD ACCEPT
Porém, mesmo assim não consigo o resultado esperado.
[]´s
Marcelo Estanislau.
Firewall e serviços lentos
ele diz nat o mulinha.
Schwann.
Firewall e serviços lentos
Olha, acredito que ninguém está aqui para responder com IGNORÃNCIA, muito menos alguém tentando ajudar que NÃO SABE NADA...
Quem disse que quero fazer NAT? Você pelo menos sabe o que é NAT? Sabe pelo menos Inglês? NAT - Network Address Translation...
Sabe, pessoas desse tipo é que infestão e alimentam a imagem ruim do Profissional em Tecnologia.
Lamento que certas pessoas não possuem o mínimo de humildade...
É por isso que o Brasil não vai para frente...
[]´s
Marcelo Estanislau Geyer.
Firewall e serviços lentos
nao sei qual eh uh problema por ai amigo mais vai uns script aqui pra ve se ajuda
------------------------------INICIO-----------------------------------------------
#!/bin/sh
case "$1" in
start)
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
;;
stop)
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_timestamps
echo 1 > /proc/sys/net/ipv4/tcp_sack
echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
;;
*)
echo "Uso: $0 {start|stop}"
exit 1
;;
esac
exit 0
------------------------------FIM----------------------------------------------------
------------------------------INICIO-----------------------------------------------
#!/bin/sh
case "$1" in
start)
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
;;
stop)
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
;;
reset)
/sbin/iptables -Z
/sbin/iptables -t nat -Z
;;
*)
echo "Uso: $0 {start,stop,reset}"
exit 1
;;
esac
exit 0
------------------------------FIM----------------------------------------------------
Abri somente a porta 53 UDP pq a resolucao de nomes e por UDP <IMG SRC="images/forum/icons/icon_wink.gif">
