[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables rallenta il computer

On Thu, Jun 20, 2002 at 12:21:44PM +0200, Samuele Giovanni Tonon wrote:
> > Chain INPUT (policy DROP 51 packets, 5883 bytes)
> >  pkts bytes target     prot opt in     out     source               destination
> >  1115  536K ACCEPT     all  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpts:x11:6699
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:A0:C9
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:00:B4
> >     0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh MAC 00:10:60
> >     0     0 DROP       all  --  eth0   any     anywhere             127.0.0.0/8
> questa qui sopra puo' essere omessa 
Hai ragione, adesso la levo.

> >    62  4876 ACCEPT     all  --  any    any     127.0.0.0/8          anywhere
> > 
> 
> la politica che hai adottato e' molto restrittiva: neghi a tutti di poter
> connettersi a dei tuoi server eccetto ssh e l'X server (se non erro).
> E' quindi normale che in una connessione a 10 Mbit tu abbia dei rallentamenti:
> ogni singolo pacchetto viene passato per il kernel, e l'80% di questi (anche
> di + credo) vengono droppati (quindi anche eventuali icmp di controllo, quindi
> il RELATED non e' usato al max ).
> Durante questi trasferimenti prova a vedere il carico di system tramite top.
> altre cose che mi vengono in mente: stai negando tutto tranne che tcp ...
> e' proprio necessario ? Non ti conviene direttamente eliminare i server che
> non ti sono necessari (o metterli in ascolto in loopback)  anziche' filtrare
> tutto ?
Non sono d'accordo sul fatto che l'80% dei pacchetti viene droppato.
Anzi se provi a guardare le statistiche sono stati droppati 51
paccketti su 1228, che corrisponde al 4,1%. Ma è proprio questo che mi
preoccupa, perché in un primo momento pensavo che il rallentamento
fosse dovuto al numero eccessivo di regole, mentre in realtà non è
così, perché la maggior parte dei pacchetti vengono mandati a
destinazione con la prima regola (state RELATED,ESTABLISHED). Questo
significa che è l'azione di memorizzare le connessioni aperte da me
che blocca il computer quando c'è molto traffico. C'è anche da dire
che cmq. è molto strano che un 900 mhz non riesca a gestire questo
compito. Mi ricordo che quando avevo ZoneAlarm sotto wincacca non avevo
questo problema e il firewall per wincacca faceva più o meno la stessa
cosa.

Questo mi fa pensare che l'unico sistema per evitare il blocco sia di
eliminare quella regola. Quindi mettere la default policy a ACCEPT e
droppare tutti i pacchetti ai servizi che voglio che rimangano
"interni".

Ciao!
-- 
Nei requisiti c'era scritto: Windows 95 o superiore -
Così ho installato Linux


-- 
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: