firewall sobe processamento...
Pessoal,
To com o seguinte problema.
Rodo na minha maquina apache + MySQL + qmail.
Basicamente ela é usada para o apache e MySQL.
A questão é que quando ligo o fire durante o horário de maior acesso, o processamento sobe muito deixando o servidor lento.
Pelo comendo "top" ele lista o apache como maior causador mas isso é estranho pois acontece somente quando ligo o irewall.
Algum pode me dar uma dica de como estar monitorando isso e detecar o que realmente está causando esse problema?
Obrigado!!!
Johnny
firewall sobe processamento...
na verdade eu acho que é o mysql que ta comendo tanto processamento... isso podem ser várias coisas
1 - conexoes que sao abertas e nao sao fechadas
2 - o mysql nao foi "otimizado"
3 - tem query SQL q nao foi bem elaborada e come processamento d+
sem ver nada fica dificil atribuir a causa disso, da uma acessada no site do mysql e olha na documentacao dele que tem algumas opções de otimizacao e tem algumas variaveis de ambiente do mysql que mostram o quanto ele esta "trabalhando", tais como qtde de conexoes, tempo das querys,etc...
firewall sobe processamento...
Mas esse problema está diretamente relacionado ao firewall.
Se eu fico o dia todo com a aplicação só que sem o firewall ligado, o processamento fica normal. É só eu ligar o firewall que ele sobe mtooooo...
Não tenho como monitorar quais portas estão sendo muito acessadas e gerando esse problema?
Johnny
firewall sobe processamento...
hmmm soh qdo ativa o firewall??bom posta suas regras ai
firewall sobe processamento...
Segue ai amigão.
Note que para enviar e-mails, como o qmail abre portas aleatórias eu liberem um range de portas que aparentemente ele usa.
Caso vc possa me ajudar a melhorar isso, tipo.. abrindo a porta somente quando ele for usar, seria legal.
Mas a questão inicial é o motivo de subir o processamento da maquina quando ligo o menino...
vlw!!
----
#!/bin/bash
ip_local="200.155.124.30"
dns_pri="200.155.124.85"
dns_sec="200.155.124.86"
# LEVANTANDO MODULOS
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_state
# LIMPANDO FIREWALL
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
# APAGANDO CADEIAS DE TERCEIROS
/sbin/iptables -X
# DEFININDO A POLITICA (tudo fechado)
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
#DEFESA CONTRA ATAQUES DIVERSOS
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
/sbin/iptables -A FORWARD -m unclean -j DROP
# MAIS SEGURANCA
/sbin/iptables -N VALID_CHECK
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
/sbin/iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
# REGRAS DIVERSAS
/sbin/iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
/sbin/iptables -A INPUT -p ALL -s $ip_local -i lo -j ACCEPT
/sbin/iptables -A INPUT -s 200.158.0.222 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 1000:3000 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s $dns_pri --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s $dns_sec --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
/sbin/iptables -A INPUT -i eth0 -f -j DROP
/sbin/iptables -A INPUT -j LOG --log-prefix "Pacote INPUT descartado: "
/sbin/iptables -A INPUT -j DROP
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "
/sbin/iptables -A FORWARD -j DROP
----