[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables rallenta il computer

On Thu, Jun 20, 2002 at 12:21:44PM +0200, Samuele Giovanni Tonon wrote:
> On Thu, Jun 20, 2002 at 05:56:17AM +0200, M.Alberto wrote:
> > On Wed, Jun 19, 2002 at 11:16:54PM +0200, Samuele Giovanni Tonon wrote:
> > > On Wed, Jun 19, 2002 at 10:09:06PM +0200, M.Alberto wrote:
> > > > Quando inizio a trasferire a 10 mbit il mouse e la tastiera di bloccano
> > > > per qualche ms ogni manciata di secondi. Sono sicuro che sia colpa di
> > > > iptables perch? se lo disattivo, torna tutto fluido. Eppure la
> > > > macchina ? un celeron a 900 mhz!
> > > > Cosa posso fare per eliminare questi "singhiozzi"?
> > > riscrivere meglio le righe firewalling ?
> > > il logging consuma bus e disco, regole troppo lunghe
> > > aumentanto il carico.
> > > In generale + riesci a generalizzare le regole e
> > > meno sono , minore carico alla macchina
> > 
> argh! se mandavi i comandi iptables era meglio ... comunque ci provo:
> 
> > Chain INPUT (policy DROP 51 packets, 5883 bytes)
> >  pkts bytes target     prot opt in     out     source               destination
> >  1115  536K ACCEPT     all  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpts:x11:6699
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:A0:C9
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:00:B4
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:10:60
> >     0     0 DROP       all  --  eth0   any     anywhere             127.0.0.0/8
> questa qui sopra puo' essere omessa 
> >    62  4876 ACCEPT     all  --  any    any     127.0.0.0/8          anywhere
> > 
> 
> la politica che hai adottato e' molto restrittiva: neghi a tutti di poter
> connettersi a dei tuoi server eccetto ssh e l'X server (se non erro).
> E' quindi normale che in una connessione a 10 Mbit tu abbia dei rallentamenti:
> ogni singolo pacchetto viene passato per il kernel, e l'80% di questi (anche
> di + credo) vengono droppati (quindi anche eventuali icmp di controllo, quindi
> il RELATED non e' usato al max ).
> Durante questi trasferimenti prova a vedere il carico di system tramite top.
> altre cose che mi vengono in mente: stai negando tutto tranne che tcp ...
> e' proprio necessario ? Non ti conviene direttamente eliminare i server che
> non ti sono necessari (o metterli in ascolto in loopback)  anziche' filtrare
> tutto ?
> 

Aggiungerei il fatto che non ha molto senso far fare a una macchina
general-purpose il servizio di packet-filtering. Se vuoi proteggere
la tua macchina personale disattiva i servizi e filtra gli ip 
a livello applicazione come suggerito. 
Diversamente, dedica una macchina a fare da firewall e basta. 
Tra l'altro e'l'unica architettura dignitosa e proponibile per la 
security (cfr. Building Internel Firewall, O'Reilly)

-- 
Francesco P. Lovergine


-- 
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: