Re: Iptables rallenta il computer
On Thu, Jun 20, 2002 at 12:21:44PM +0200, Samuele Giovanni Tonon wrote:
> On Thu, Jun 20, 2002 at 05:56:17AM +0200, M.Alberto wrote:
> > On Wed, Jun 19, 2002 at 11:16:54PM +0200, Samuele Giovanni Tonon wrote:
> > > On Wed, Jun 19, 2002 at 10:09:06PM +0200, M.Alberto wrote:
> > > > Quando inizio a trasferire a 10 mbit il mouse e la tastiera di bloccano
> > > > per qualche ms ogni manciata di secondi. Sono sicuro che sia colpa di
> > > > iptables perch? se lo disattivo, torna tutto fluido. Eppure la
> > > > macchina ? un celeron a 900 mhz!
> > > > Cosa posso fare per eliminare questi "singhiozzi"?
> > > riscrivere meglio le righe firewalling ?
> > > il logging consuma bus e disco, regole troppo lunghe
> > > aumentanto il carico.
> > > In generale + riesci a generalizzare le regole e
> > > meno sono , minore carico alla macchina
> >
> argh! se mandavi i comandi iptables era meglio ... comunque ci provo:
>
> > Chain INPUT (policy DROP 51 packets, 5883 bytes)
> > pkts bytes target prot opt in out source destination
> > 1115 536K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
> > 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:x11:6699
> > 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh MAC 00:A0:C9
> > 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh MAC 00:00:B4
> > 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh MAC 00:10:60
> > 0 0 DROP all -- eth0 any anywhere 127.0.0.0/8
> questa qui sopra puo' essere omessa
> > 62 4876 ACCEPT all -- any any 127.0.0.0/8 anywhere
> >
>
> la politica che hai adottato e' molto restrittiva: neghi a tutti di poter
> connettersi a dei tuoi server eccetto ssh e l'X server (se non erro).
> E' quindi normale che in una connessione a 10 Mbit tu abbia dei rallentamenti:
> ogni singolo pacchetto viene passato per il kernel, e l'80% di questi (anche
> di + credo) vengono droppati (quindi anche eventuali icmp di controllo, quindi
> il RELATED non e' usato al max ).
> Durante questi trasferimenti prova a vedere il carico di system tramite top.
> altre cose che mi vengono in mente: stai negando tutto tranne che tcp ...
> e' proprio necessario ? Non ti conviene direttamente eliminare i server che
> non ti sono necessari (o metterli in ascolto in loopback) anziche' filtrare
> tutto ?
>
Aggiungerei il fatto che non ha molto senso far fare a una macchina
general-purpose il servizio di packet-filtering. Se vuoi proteggere
la tua macchina personale disattiva i servizi e filtra gli ip
a livello applicazione come suggerito.
Diversamente, dedica una macchina a fare da firewall e basta.
Tra l'altro e'l'unica architettura dignitosa e proponibile per la
security (cfr. Building Internel Firewall, O'Reilly)
--
Francesco P. Lovergine
--
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: