[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables rallenta il computer

On Thu, Jun 20, 2002 at 05:56:17AM +0200, M.Alberto wrote:
> On Wed, Jun 19, 2002 at 11:16:54PM +0200, Samuele Giovanni Tonon wrote:
> > On Wed, Jun 19, 2002 at 10:09:06PM +0200, M.Alberto wrote:
> > > Quando inizio a trasferire a 10 mbit il mouse e la tastiera di bloccano
> > > per qualche ms ogni manciata di secondi. Sono sicuro che sia colpa di
> > > iptables perch? se lo disattivo, torna tutto fluido. Eppure la
> > > macchina ? un celeron a 900 mhz!
> > > Cosa posso fare per eliminare questi "singhiozzi"?
> > riscrivere meglio le righe firewalling ?
> > il logging consuma bus e disco, regole troppo lunghe
> > aumentanto il carico.
> > In generale + riesci a generalizzare le regole e
> > meno sono , minore carico alla macchina
> 
argh! se mandavi i comandi iptables era meglio ... comunque ci provo:

> Chain INPUT (policy DROP 51 packets, 5883 bytes)
>  pkts bytes target     prot opt in     out     source               destination
>  1115  536K ACCEPT     all  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED
>     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpts:x11:6699
>     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:A0:C9
>     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:00:B4
>     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:10:60
>     0     0 DROP       all  --  eth0   any     anywhere             127.0.0.0/8
questa qui sopra puo' essere omessa 
>    62  4876 ACCEPT     all  --  any    any     127.0.0.0/8          anywhere
> 

la politica che hai adottato e' molto restrittiva: neghi a tutti di poter
connettersi a dei tuoi server eccetto ssh e l'X server (se non erro).
E' quindi normale che in una connessione a 10 Mbit tu abbia dei rallentamenti:
ogni singolo pacchetto viene passato per il kernel, e l'80% di questi (anche
di + credo) vengono droppati (quindi anche eventuali icmp di controllo, quindi
il RELATED non e' usato al max ).
Durante questi trasferimenti prova a vedere il carico di system tramite top.
altre cose che mi vengono in mente: stai negando tutto tranne che tcp ...
e' proprio necessario ? Non ti conviene direttamente eliminare i server che
non ti sono necessari (o metterli in ascolto in loopback)  anziche' filtrare
tutto ?

ciao
Samuele
-- 
Samuele Giovanni Tonon  <samu@linuxasylum.net>   http://www.linuxasylum.net/~samu/
          	Acid -- better living through chemistry.
			       Timothy Leary


-- 
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: