+ Responder ao Tópico



  1. #1
    estanisgeyer
    Visitante

    Padrão Firewall e serviços lentos

    Olá, caros amigos!

    Implantei um firewall no meu servidor. Primeiramente setei todas as políticas das chains para DROP, exceto a OUTPUT, e fui liberando o que me interessava. Até aqui tudo bem, funcionou corretamente. Só que o problema, quando ativo o firewall, os serviços de smtp, ssh, telnet e outros desta máquina firewall ficam lentos. Estes serviços rodam na mesma máquina do firewall. Estou esquecendo de liberar portas ou tipo de pacotes?

    Veja parte do meu firewall, com o exemplo do acesso ao SSH

    # Limpar, excluir chains e zerar contadores
    iptables -F
    iptables -X
    iptables -ZL

    # Setar novas políticas às chains
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    # Liberar porta SSH (Ex.)
    iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT

    Gratos pela cooperação, aguardo retorno

    []´s

    Marcelo Estanislau Geyer

  2. #2
    estanisgeyer
    Visitante

    Padrão Firewall e serviços lentos

    E aí pessoal, ninguém consegue me ajudar?

  3. #3

    Padrão Firewall e serviços lentos

    Eh um simples conjunto de regras... estranho nao deveria ficar lento.

    Qual o resto das regras? completo.
    tem que verificar as outras portas.

    esse firewall roda em um host? ou e um firewall de rede?

    seria bom fazer o firewall ser stateful, consome mais cpu/memoria (EH POUCO TAH? penoso ... <IMG SRC="images/forum/icons/icon_smile.gif">) que adiciona mais seguranca .. e e bem emlhor..

    coloque nas suas chains

    -m state --state ESTABLISHED,RELATED -j ACCEPT

    state NEW nao presciso explicar, bom ai voce pode fazer um setup de firewall um pouco mais "complexo" e seguro.

    Bom liste todas suas regras e seus servicos. e estranho ficar lento.

  4. #4
    estanisgeyer
    Visitante

    Padrão Firewall e serviços lentos

    Bom amigo Mystymst...
    A regra é basicamente isso que coloquei...
    A verdade é que vou melhorar a segurança fazendo esse SETUP de firewall mais complexo, como Ping da Morte, Spoof IP e outros. Fiz apenas esse básico para ver se realmente estava funcionando, aí observei que os serviços ficaram lentos... Estranho, pois uso RH9, com Athlon XP 1.7 e 512MB de RAM, Placa Off-board!!!
    Os serviços que estou rodando, são FTP(21), DNS (53), SMTP (25), SSH (22), HTTP (80), POP3 (110) e IMAP (143).
    O firewall é um host onde rodam estes mesmos serviços. É uma máquina apenas.
    E as regras, além das que coloquei, são as que permitem conexões a essas portas que mencionei acima. Vou listar abaixo todas as regras básicas, que fazem os serviços ficarem lentos:

    # Limpar, excluir chains e zerar contadores
    iptables -F
    iptables -X
    iptables -ZL

    # Setar novas políticas às chains
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    # Liberar portas
    iptables -A INPUT -s 0/0 -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --dport 53 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 143 -j ACCEPT

    Reparei que o serviço HTTP não fica lento, levando a conclusão que serviços que necessitem de uma resolução reversa de nomes é que ficam lentos. A configuração do DNS não há erro... e agora? Será que é meu fim de bom roteirista de firewall.... hehehehe (brincadeirinha...)

    Help, help.... hehehehe

    []&acute;s

    Marcelo Estanislau

  5. #5

    Padrão Firewall e serviços lentos

    ahhhhhhh voce falou tudo agora <IMG SRC="images/forum/icons/icon_smile.gif"> *DNS*

    libere as portas de DNS 53 tcp e udp <IMG SRC="images/forum/icons/icon_smile.gif">
    pode ser isso <IMG SRC="images/forum/icons/icon_smile.gif"> TENTE <IMG SRC="images/forum/icons/icon_smile.gif">

  6. #6
    estanisgeyer
    Visitante

    Padrão Firewall e serviços lentos

    Caro amigo...
    observe nas regras que coloquei acima que liberei estas portas...
    Tanto udp quanto tcp.
    Existe outra porta para resolução reversa, além da tradicional 53 do serviço DNS?

    []&acute;s

    Marcelo Estanislau.

  7. #7
    Visitante

    Padrão Firewall e serviços lentos

    Vc fez os repasses de pacotes???


  8. #8
    estanisgeyer
    Visitante

    Padrão Firewall e serviços lentos

    Fiz um teste, mudando a política da chain FORWARD:

    iptables -P FORWARD ACCEPT

    Porém, mesmo assim não consigo o resultado esperado.

    []&acute;s

    Marcelo Estanislau.

  9. #9
    Visitante

    Padrão Firewall e serviços lentos

    ele diz nat o mulinha.

    Schwann.

  10. #10
    estanisgeyer
    Visitante

    Padrão Firewall e serviços lentos

    Olha, acredito que ninguém está aqui para responder com IGNORÃNCIA, muito menos alguém tentando ajudar que NÃO SABE NADA...
    Quem disse que quero fazer NAT? Você pelo menos sabe o que é NAT? Sabe pelo menos Inglês? NAT - Network Address Translation...
    Sabe, pessoas desse tipo é que infestão e alimentam a imagem ruim do Profissional em Tecnologia.

    Lamento que certas pessoas não possuem o mínimo de humildade...
    É por isso que o Brasil não vai para frente...

    []&acute;s

    Marcelo Estanislau Geyer.

  11. #11
    Visitante

    Padrão Firewall e serviços lentos

    nao sei qual eh uh problema por ai amigo mais vai uns script aqui pra ve se ajuda

    ------------------------------INICIO-----------------------------------------------
    #!/bin/sh

    case "$1" in
    start)
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
    echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
    echo 0 > /proc/sys/net/ipv4/tcp_timestamps
    echo 0 > /proc/sys/net/ipv4/tcp_sack
    echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    ;;
    stop)
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
    echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
    echo 1 > /proc/sys/net/ipv4/tcp_timestamps
    echo 1 > /proc/sys/net/ipv4/tcp_sack
    echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
    echo 0 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    ;;
    *)
    echo "Uso: $0 {start|stop}"
    exit 1
    ;;
    esac

    exit 0

    ------------------------------FIM----------------------------------------------------

    ------------------------------INICIO-----------------------------------------------
    #!/bin/sh

    case "$1" in
    start)
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -t nat -F
    /sbin/iptables -t nat -X
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    /sbin/iptables -A FORWARD -p udp --dport 53 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
    ;;
    stop)
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT DROP
    ;;
    reset)
    /sbin/iptables -Z
    /sbin/iptables -t nat -Z
    ;;
    *)
    echo "Uso: $0 {start,stop,reset}"
    exit 1
    ;;
    esac

    exit 0
    ------------------------------FIM----------------------------------------------------

    Abri somente a porta 53 UDP pq a resolucao de nomes e por UDP <IMG SRC="images/forum/icons/icon_wink.gif">