- - PR -
iptablesの設定で接続が遅くなる
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-09-16 17:57
お返事遅くなってすみませんでした。皆様ご回答有難う御座います。
まず私の今の設定を全部書かせて頂きます。 ========================================================================== /sbin/iptables -F /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT #local /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #session #/sbin/iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT #ping(icmp) #/sbin/iptables -A INPUT -p icmp -s xxx.xxx.xxx.xxx -j ACCEPT #port scan #/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #syn flood #/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT #ping of death #/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #spoofing /sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP /sbin/iptables -A INPUT -s 172.16.0.0/12 -j DROP /sbin/iptables -A INPUT -s 192.168.1.0/24 -j DROP #output /sbin/iptables -A OUTPUT -p tcp --dport 135 -j DROP /sbin/iptables -A OUTPUT -p udp --dport 135 -j DROP /sbin/iptables -A OUTPUT -p tcp --dport 137:139 -j DROP /sbin/iptables -A OUTPUT -p udp --dport 137:139 -j DROP /sbin/iptables -A OUTPUT -p tcp --dport 445 -j DROP /sbin/iptables -A OUTPUT -p udp --dport 445 -j DROP #ftp-data /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT #ftp-control /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT #ssh /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT #telnet #/sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT #smtp /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT #dns-tcp/udp /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT /sbin/iptables -A INPUT -p tcp --sport 53 -j ACCEPT /sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT #http /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT #pop3 /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT #mysql /sbin/iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 3306 -j ACCEPT /sbin/iptables -A INPUT -s zzz.zzz.zzz.zzz -p tcp --dport 3306 -j ACCEPT ========================================================================== このようにパケットフィルタリングのみになっています。 iptablesのマニュアルやパラメータを全て目を通したわけでは御座いません。 大変失礼であること申し訳なく思っておりますが、iptablesの使い方を理解し 自分で一から作成できる技術を身に付けるには、私の頭ですと時間がかかりすぎると 思ったことと深みにはまって先に進めなくなると思いましたので、@ITさんや 他の例を記述しておられる解説ページを参考に上記のような設定を作りました。 > SSH 接続中のレスポンスが遅いのですか ? HPへアクセスするものPOP3でメールを取得するのも同様に回線が途切れる 感じで遅くなる症状が出ます。他の回線(異なるISP)から確認してみると スムーズでした。そして一度自分でしっかり理解していない部分(/session/ping(icmp)/ port scan/syn flood/ping of death)とコメントアウトしている3行の設定を 解除してみたところ改善されました。 もう少し具体的に症状を述べようといま、もう一度全ての設定をオンにした状態で 試してみたのですが、同じような症状を再現することが出来ませんでした。 念のため回線のトラフィックをデータセンターに問い合わせましたが、 サーバまでの経路には問題はないとのことでした。 私の構築しているものは有名でもありませんので、誰かに狙われたりする心配は しておらず、また狙われるような内容を配信しているとも思っておりませんので、 無理に上記の攻撃フィルターを入れる必要もないとも思います。今回はパケット フィルタリング以外はオフにした状態で進めたいと思います。 (開いているポートを隠したいわけでもありませんでした。) 今まで社内用のFTTH回線を利用しておりましたのでルータの導入が可能でした。 しかしデータセンターに移動することになりまして、ルータが設置できず不安に なったのでiptablesにたどり着きました。今のところはセキュリティーに関して 最低限と言われる「不要なサービスの停止」「不要なパケットの破棄」 「ソフトウェアを最新の安定したものにアップグレードする」を実践しております。 先に良いコンテンツを作りアクセスが増えしだい心配すべきことと存じますが この機械に少しずつでも知識を蓄えて進みたいとも思っております。 ご回答頂いた皆様有難う御座います。こうして技術者から直接頂く回答は大変勉強に なります。Googleで調べるときにキーワードが増えます。何で調べたらよいのだろう というレベルですので大変参考になり感謝しております。 もし、上記の設定で「これは有効にしても大丈夫」「これは意味がない」など 何かアドバイス頂けましたら宜しくお願いします。m(_ _)m | ||||
|
投稿日時: 2004-09-16 20:37
すいません。
#session #/sbin/iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT この個所を無効にするとメールが送信されなくなります。 どういった原因が考えられますでしょうか。。。 | ||||
|
投稿日時: 2004-09-16 23:19
上の設定からその箇所を抜くと、通信相手に応答を返すパケットを 送出しなくなるのでそうなります。 [ メッセージ編集済み 編集者: ぽんす 編集日時 2004-09-16 23:23 ] | ||||
|
投稿日時: 2004-09-17 01:00
そうでしたか…有難う御座います!
かなり驚いてしまいました…汗 | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。