Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    johnny
    Pessoal,

    To com o seguinte problema.
    Rodo na minha maquina apache + MySQL + qmail.
    Basicamente ela é usada para o apache e MySQL.
    A questão é que quando ligo o fire durante o horário de maior acesso, o processamento sobe muito deixando o servidor lento.
    Pelo comendo "top" ele lista o apache como maior causador mas isso é estranho pois acontece somente quando ligo o irewall.
    Algum pode me dar uma dica de como estar monitorando isso e detecar o que realmente está causando esse problema?

    Obrigado!!!
    Johnny

  2. na verdade eu acho que é o mysql que ta comendo tanto processamento... isso podem ser várias coisas

    1 - conexoes que sao abertas e nao sao fechadas
    2 - o mysql nao foi "otimizado"
    3 - tem query SQL q nao foi bem elaborada e come processamento d+

    sem ver nada fica dificil atribuir a causa disso, da uma acessada no site do mysql e olha na documentacao dele que tem algumas opções de otimizacao e tem algumas variaveis de ambiente do mysql que mostram o quanto ele esta "trabalhando", tais como qtde de conexoes, tempo das querys,etc...



  3. #3
    johnny
    Mas esse problema está diretamente relacionado ao firewall.
    Se eu fico o dia todo com a aplicação só que sem o firewall ligado, o processamento fica normal. É só eu ligar o firewall que ele sobe mtooooo...

    Não tenho como monitorar quais portas estão sendo muito acessadas e gerando esse problema?

    Johnny

  4. hmmm soh qdo ativa o firewall??bom posta suas regras ai



  5. #5
    johnny
    Segue ai amigão.

    Note que para enviar e-mails, como o qmail abre portas aleatórias eu liberem um range de portas que aparentemente ele usa.
    Caso vc possa me ajudar a melhorar isso, tipo.. abrindo a porta somente quando ele for usar, seria legal.

    Mas a questão inicial é o motivo de subir o processamento da maquina quando ligo o menino...
    vlw!!

    ----
    #!/bin/bash

    ip_local="200.155.124.30"
    dns_pri="200.155.124.85"
    dns_sec="200.155.124.86"


    # LEVANTANDO MODULOS
    modprobe ip_tables
    modprobe ipt_LOG
    modprobe ipt_state

    # LIMPANDO FIREWALL
    /sbin/iptables -t filter -F
    /sbin/iptables -t nat -F
    /sbin/iptables -t mangle -F

    # APAGANDO CADEIAS DE TERCEIROS
    /sbin/iptables -X

    # DEFININDO A POLITICA (tudo fechado)
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP

    #DEFESA CONTRA ATAQUES DIVERSOS
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    /sbin/iptables -A FORWARD -m unclean -j DROP


    # MAIS SEGURANCA
    /sbin/iptables -N VALID_CHECK
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    /sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

    # REGRAS DIVERSAS

    /sbin/iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    /sbin/iptables -A INPUT -p ALL -s $ip_local -i lo -j ACCEPT
    /sbin/iptables -A INPUT -s 200.158.0.222 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 1000:3000 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    /sbin/iptables -A INPUT -p udp -s $dns_pri --sport 53 -j ACCEPT
    /sbin/iptables -A INPUT -p udp -s $dns_sec --sport 53 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
    /sbin/iptables -A INPUT -i eth0 -f -j DROP
    /sbin/iptables -A INPUT -j LOG --log-prefix "Pacote INPUT descartado: "
    /sbin/iptables -A INPUT -j DROP


    /sbin/iptables -A FORWARD -m state --state INVALID -j DROP
    /sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "
    /sbin/iptables -A FORWARD -j DROP
    ----






Tópicos Similares

  1. Kazaa + firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-01-2005, 20:21
  2. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 5
    Último Post: 29-11-2004, 19:09
  3. Squid + Firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 10
    Último Post: 02-12-2002, 18:54
  4. firewall x webmail ou firewall x php?
    Por eclaudin no fórum Segurança
    Respostas: 3
    Último Post: 23-08-2002, 04:14
  5. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-03-2002, 21:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L