Henning Vedstesen wrote:
> Efter at have lavet mine firewall rules som jeg gerne vil have
> dem, kan jeg ikke helt forstå hvorfor serveren er blevet så
> langsom at komme i kontakt med via ssh
>
> Jeg har følgende rules sat i firewallen:
> 00001 5346 668076 allow ip from 10.0.0.1 to 10.0.0.20
> 00002 6240 590961 allow ip from 10.0.0.20 to 10.0.0.1
> 00010 7 348 allow tcp from any to me dst-port 22
> 00011 0 0 allow tcp from me to any dst-port 22
> 00050 343615 45745452 divert 8668 ip from any to any via rl0
> 00100 28 1592 allow ip from any to any via lo0
> 00200 0 0 deny ip from any to 127.0.0.0/8
> 00300 0 0 deny ip from 127.0.0.0/8 to any
> 00400 798 52302 allow udp from any to any dst-port 53
> 10000 683 63099 deny ip from any to me in via rl0
> 65000 678275 84286316 allow ip from any to any
> 65535 1 365 deny ip from any to any
>
> Via ssh fra min egen maskine (10.0.0.20) går der meget langt
> tid inden der er hul igennem til 10.0.0.1 (det interne netkort
> på serveren). hvis regel 10000 slettes er der hurtigt
> forbindelse.
Fordi du ikke tillader DNS svar at komme tilbage.
Du mangler noget i stil med:
allow udp from DinIspDNS 53 to any
Prøv at lave 10000 som 'deny log', og hav så en tail kørende på
/var/log/security. Der kan du se det du deny'er.
> Hvordan kan det være, når jeg har sat reglerne 1 og 2 der
> skulle sikre hurtigt adgang til serveren?
På moderne hardware (med moderat trafik) betyder det ikke så
meget om du rammer din regel som nummer 2 eller som nummer 50.
Hyg'
Flemming
-- Flemming Jacobsen Email: fj_at_batmule.dk ---=== If speed kills, Windows users may live forever. ===---Received on Fri 21 Feb 2003 - 08:33:06 CET
This archive was generated by hypermail 2.2.0 : Wed 27 Mar 2013 - 10:40:17 CET