View previous topic :: View next topic |
Author |
Message |
arnor Tux's lil' helper
Joined: 01 Nov 2004 Posts: 147
|
Posted: Mon Mar 14, 2005 6:59 pm Post subject: [conf] iptables server intranet lento |
|
|
Ciao forum,
ho un problema credo con iptables
riassunto
macchina gentoo con dischi scsi e raid 1 hardware
kernel 2.6.10-gentoo-r6
due schede di rete eth0 e eth1
eth0 -> WAN
eth1 -> LAN
iptables configurato per fare da bridge tra le due reti. Con ip_forwarding e nat permetto la navigazione web ai client interni.
Inizialmente non avevo messo alcuni moduli del kernel e non andava con il fw. Ora va ma lento...
ho installato i seguenti pacchetti:
Code: | samba 3.0.10
mysql 4.1.8
pure-ftpd 1.0.20-r1
openvpn 1.5.0-r1 |
samba -> funziona perfettamente
mysql -> funziona bene da riga di commando e lentissimo da phpmyadmin. se spengo iptables perfetto.
pure-ftpd -> e' lento ad utenticare su eth1 e su eth0. se spengo iptables è una scheggia.
ssh -> è lento ad autenticare sia su eth1 che eth0. se spengo iptable viaggia bene.
qui di seguito le mie regole su iptables:
Code: | # Generated by iptables-save v1.2.11 on Mon Mar 14 19:34:35 2005
*nat
:PREROUTING ACCEPT [15510:922633]
:POSTROUTING ACCEPT [1779:81314]
:OUTPUT ACCEPT [89:10304]
[492:38868] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Mar 14 19:34:35 2005
# Generated by iptables-save v1.2.11 on Mon Mar 14 19:34:35 2005
*mangle
:PREROUTING ACCEPT [139653:60583867]
:INPUT ACCEPT [115134:46667638]
:FORWARD ACCEPT [24514:13915944]
:OUTPUT ACCEPT [99964:14657156]
:POSTROUTING ACCEPT [124770:28623792]
COMMIT
# Completed on Mon Mar 14 19:34:35 2005
# Generated by iptables-save v1.2.11 on Mon Mar 14 19:34:35 2005
*filter
:INPUT ACCEPT [52416:25408601]
:FORWARD ACCEPT [23922:13708447]
:OUTPUT ACCEPT [97756:14111766]
[44751:20052702] -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
[175:17987] -A INPUT -m state --state ESTABLISHED -j ACCEPT
[0:0] -A INPUT -m state --state RELATED -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
[10:840] -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 5/sec -j ACCEPT
[158:27604] -A INPUT -i eth1 -j ACCEPT
[5:220] -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
[7:420] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[33:1980] -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 5241 -j ACCEPT
[0:0] -A INPUT -i ! eth1 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A INPUT -i ! eth1 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
[3361:201548] -A INPUT -i ! eth1 -p tcp -m tcp -j DROP
[200:29543] -A INPUT -i ! eth1 -p udp -m udp -j DROP
COMMIT
# Completed on Mon Mar 14 19:34:35 2005
|
L'impressione che manca qualcosa circa le connessioni stabilite oppure l'ordine delle regole influenza la velocità.
Ho trovato diversi guide su come fare delle mezze configurazioni di iptables ma
L'idea finale sarebbe lasciare aperte 3 porte: 21(ftp),80(http),5241(openvpn)
tramite la vpn entro per amministrare la macchina in ssh.
grazie a tutti in anticipo per idee o suggerimenti.
Ciao Lorenzo
Edit gutter: usiamo i bbcode |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Mon Mar 14, 2005 9:47 pm Post subject: |
|
|
o vedo male io o hai le policy di default su ACCEPT e poi fai delle regole specifiche di ACCEPT.
Che senso ha?
La strada migliore e' quello di mettere le policy di default su DROP e consentire quello che vuoi con le regole specifiche.
Se non mastichi molto di iptables ti consiglio vivamente shorewall (anche se lo mastichi)
ciao
(solitamente i problemi di lentezza sono dovuti alla risoluzione dei nomi..)
ciao _________________ while True:Gentoo() |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Mon Mar 14, 2005 10:40 pm Post subject: |
|
|
xchris wrote: |
Se non mastichi molto di iptables ti consiglio vivamente shorewall (anche se lo mastichi)
|
Concordo . Lo sto provando da un paio di giorni e mi sto stupendo della sua versatilità. _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Mon Mar 14, 2005 10:42 pm Post subject: |
|
|
io vorrei provarlo, ma c'ho capito meno che di iptables (e di iptables c'ho capito lo 0,01% )
Coda |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Mon Mar 14, 2005 10:52 pm Post subject: |
|
|
codadilupo wrote: | io vorrei provarlo, ma c'ho capito meno che di iptables (e di iptables c'ho capito lo 0,01% )
|
Il mio consiglio è di leggerti gli ottimi howto. In un paio d'ore tiri fuori una configurazione funzionante _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Mon Mar 14, 2005 11:06 pm Post subject: |
|
|
e appena lo mastichi configuri una macchina desktop in circa 2 minuti
ma la potenza secondo me sta' tutta nella sua versatilita'.
Lavorare con n-interfacce (con n>3) senza problemi e' una cosa fantastica
senza parlare del supporto per proxyarp e cosette del genere
Sarebbe carino fare una noob guide anche se shorewall gia' di suo ha un ottima documentazione sul sito.
Una doc che spiega i concetti ultra-base.Volontari? _________________ while True:Gentoo() |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Mon Mar 14, 2005 11:08 pm Post subject: |
|
|
xchris wrote: |
Una doc che spiega i concetti ultra-base.Volontari? |
Su questo forum in genere la guida la fa chi la propone
Quindi aspettiamo con ansia un tuo "capolavoro" _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Mon Mar 14, 2005 11:16 pm Post subject: |
|
|
arg no.... anfame
shorewall e' molto ben documentato in inglese...
non ci credo che non ci sia nulla in italiano.
Io posso fare una guida veramente minimale....
coprire tutto shorewall mi porterebbe via un anno
ciao _________________ while True:Gentoo() |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Mon Mar 14, 2005 11:53 pm Post subject: |
|
|
xchris wrote: | La strada migliore e' quello di mettere le policy di default su DROP e consentire quello che vuoi con le regole specifiche.
Se non mastichi molto di iptables ti consiglio vivamente shorewall (anche se lo mastichi) |
sono d'accordo sulla policy. quando faccio un firewall metto tutto un drop (ma proprio tutto) e poi apro solo ai servizi che mi interessano.
non concordo su shorewall. si tratta di un tool che alla fine maneggia ancora iptables. un intermediario secondo me poco utile e che aggiunge altro lavoro di gestione. personalmente preferisco avere meno tool possibili (e poi così ti fai pure le ossa).
se posso permettermi un consiglio, io cercherei una guida basilare per netfilter, giusto per capire il funzionamento generale, e poi cercherei di raffinare sempre più. tutto quello che ti serve lo trovi in man iptables |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Tue Mar 15, 2005 12:06 am Post subject: |
|
|
guarda...
di netfilter ne ho visto abbastanza.
Io ero della tua stessa opinione fino a quando ho dovuto configurare dei Firewall che terminavano VPN openvpn,pptpd multizona ( n=5)
Con iptables puro penso che sarei invecchiato dal cliente.
(anche perche' dovevo pure lavorare con ebtables)
Con shorewall e' stata una bazzecola (o quasi).
Il punto e' che con shorewall il debug e' velocissimo...
Un mio caro amico mi ha consigliato shorewall e all'inzio ero scettico come te.
Dopo averlo visto un po'... bhe non c'e' storia proprio.
Di base shorewall crea le regole in modo dinamico e aggiungere una nuova zona e' semplice e non richiede la modifica dello script iptables in + parti.
E' comunque buona norma capire il funzionamento di iptables e poi per comodita' usare un tool se si devono gestire n-firewall.
Cmq... come sempre IMHO. _________________ while True:Gentoo() |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Tue Mar 15, 2005 9:10 am Post subject: |
|
|
k.gothmog wrote: |
non concordo su shorewall. si tratta di un tool che alla fine maneggia ancora iptables. un intermediario secondo me poco utile e che aggiunge altro lavoro di gestione. personalmente preferisco avere meno tool possibili (e poi così ti fai pure le ossa). |
Credo che shorewall sia un tool che permetta di mantenere e configurare in maniera semplice un firewall; questo non implica che si debba sconoscere netfilter/iptables. Io l'ho trovato davvero comodo.
Ringrazio ancora xchris per il suggerimento _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
fat_penguin Apprentice
Joined: 25 Jul 2004 Posts: 294 Location: sud side of Switzerland
|
Posted: Tue Mar 15, 2005 9:23 am Post subject: |
|
|
Voglio fare un po la voce fuori dal coro, senza pero' senza entrare in polemica.
Personalmente non uso nessuna interfaccia grafica per configurare netfilter, preferisco creare uno script con i comandi "iptables"... penso che in questo modo si abbia la massima flessibilità e inoltre risulta molto comodo da leggere e da modificare... E' solo questione di capire i concetti di base!
... cmq si sa... per me potrebbero anche togliere X
byebye
fat_penguin |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Tue Mar 15, 2005 9:51 am Post subject: |
|
|
fat_penguin wrote: | preferisco creare uno script con i comandi "iptables"... penso che in questo modo si abbia la massima flessibilità e inoltre risulta molto comodo da leggere e da modificare... E' solo questione di capire i concetti di base! |
no, non é solo questione di capire i concetti: io ho capito le catene, e so da dove volgio far passare un pacchetto, quando e come maneggiarlo, rifutarlo etc. ma poi 'ste cose le devi anche fare: e se non conosci tutte le porte che devi conoscere (tolte le ovvie, dalla 21 alla 80 ) diventa un mezzo casino, anche perché nulla é piu' facile che mettere regole in contrasto fra di loro
Quote: | Personalmente non uso nessuna interfaccia grafica per configurare netfilter |
ehmm... shorewall non é grafico
Coda |
|
Back to top |
|
|
fat_penguin Apprentice
Joined: 25 Jul 2004 Posts: 294 Location: sud side of Switzerland
|
Posted: Tue Mar 15, 2005 10:00 am Post subject: |
|
|
@coda: ops, il grafico mi era sfuggito...
Potremmo discutere all'infinito su cosa sia meglio o peggio... senza mai giungere ad una conclusione visto che ognuno ha la sua testa e le sue opinioni.
Quello che mi spaventa un po invece (e vado un pelo OT) è vedere che molta gente pensa che questi tools sopperiscano alla loro carenza di conoscenza del protocollo IP, di netfilter e dei fondamenti di networking. Spesso vedo persone lanciarsi "a panza" nella configurazione di firewall (con successo a volte...) senza avere la minma idea di cio che sta facendo... Fin che la cosa si limita ad un "gioco" casalingo va tutto bene... ma occhio a non peccare di presunzione!
byebye
fat_penguin |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Tue Mar 15, 2005 10:12 am Post subject: |
|
|
fat_penguin wrote: | @coda: ops, il grafico mi era sfuggito...
Potremmo discutere all'infinito su cosa sia meglio o peggio... senza mai giungere ad una conclusione visto che ognuno ha la sua testa e le sue opinioni.
Quello che mi spaventa un po invece (e vado un pelo OT) è vedere che molta gente pensa che questi tools sopperiscano alla loro carenza di conoscenza del protocollo IP, di netfilter e dei fondamenti di networking. Spesso vedo persone lanciarsi "a panza" nella configurazione di firewall (con successo a volte...) senza avere la minma idea di cio che sta facendo... Fin che la cosa si limita ad un "gioco" casalingo va tutto bene... ma occhio a non peccare di presunzione! |
hai perfettamente ragione: ma considera che non c'e' altro modo di sapere queste cose, se non sapendole
Voglio dire, con tutta la documentazione libera che c'e', spesso mi imbatto in questioni fuori dalla mia capacità di comprensione: shorewall, che come ho detto ho trovato piu' incasinato di iptables (ma che ieri sera sono riuscito a configurare: alleluja !!!) facilità questo tipo di problemi, anche perché ti dice lui cosa vuol dire packet filtering, tcpdump etc.. sono d'accordo sul non fare bungee jumping senza un elastico attorcigliato in vita, ma non credo, per quanto ho sentito parlare di shorewall qui e altrove, che sia questo il caso
Coda |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Tue Mar 15, 2005 10:53 am Post subject: |
|
|
fat_penguin wrote: | Quello che mi spaventa un po invece (e vado un pelo OT) è vedere che molta gente pensa che questi tools sopperiscano alla loro carenza di conoscenza del protocollo IP, di netfilter e dei fondamenti di networking. Spesso vedo persone lanciarsi "a panza" nella configurazione di firewall (con successo a volte...) senza avere la minma idea di cio che sta facendo... Fin che la cosa si limita ad un "gioco" casalingo va tutto bene... ma occhio a non peccare di presunzione!
|
si e no...
ti faccio un esempio
io so configurare bridge,proxyarp e cose simili..
Quando mi reco dai miei clienti una configurazione con shorewall e' + veloce (e' inutile che configuri un proxy-arp 50 volte... ormai ho capito come si fa )
Poi... da non trascurare.. e' + mantenibile!
Uno script iptables per quanto bene sia fatto non e' cosi' chiaro come una configurazione di shorewall.
E' piu' sicuro a mio avviso.Il team che lo ha sviluppato e' sicuramente molto competente e la miriade di utenti che la usano fanno testing e inondano le mailing-list di configurazioni tipo,suggerimenti... critiche...ecc .ecc
Non voglio (e non lo faccio) dubitare della tua abilita' a scrivere script iptables ma sappiamo tutti che e' facile sbagliare.
E mantenere nel tempo uno script che per diverse esigenze deve essere modificato non e' banale.
Altro aspetto degno di nota..
Se vogliamo che linux si diffonda e' bene che ci sia qualche tipo di semplificazione.
Non e' detto che per forza debba fare un Cisco Training per utilizzare linux in sicurezza
Perche' mi piace tanto shorewall?
- per l'utente inesperto limita moltissimo i danni e gli permette di non inbarcarsi in quel incubo di iptables (la prima volta non vi siete spaventati? NO? non ci credo)
- per l'utente esperto e' una manna dal cielo. Mi permette di andare a casa prima in tutta sicurezza a giocare con il mio bimbo invece di passare la notte su uno script dove per errore ho invertito 2 righe
Vorrei ripetermi: la pensavo esattamente come te e i firewall li facevo solo con miei script. Provato shorewall... mai + senza!
Per quanto riguarda la guida.. non so se ha senso vista la documentazione ottima che c'e' e cmq l'impossibilita di fare una guida esauriente.Che ne dite?
Ciao _________________ while True:Gentoo() |
|
Back to top |
|
|
grentis Guru
Joined: 20 Jul 2004 Posts: 321
|
Posted: Tue Mar 15, 2005 11:13 am Post subject: |
|
|
Ma c'è qualcosa in italiano da qualche parte?
Io ora uso script per iptables ma se dite che è così comodo shorewall... |
|
Back to top |
|
|
arnor Tux's lil' helper
Joined: 01 Nov 2004 Posts: 147
|
Posted: Tue Mar 15, 2005 11:21 am Post subject: |
|
|
grazie a tutti per i suggerimenti. Penso che approfondirò shorewall, un utility che non conoscevo.
Quanto ha iptables ho provedduro a scaricare la documentazione... non rimane che leggerla
ciao lo |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Tue Mar 15, 2005 6:59 pm Post subject: |
|
|
ho provato a fare una guida semplice.
E' solo una intro e non vuole in nessun modo coprire l'argomento.
Mi auguro che sia piu' che altro uno stimolo per andare a vedere la documentazione ufficiale
In futuro includero' qualche altra configurazione tipica.
Sono una chiavica a scrivere guide.
In caso di inesattezze o parti poco chiare scivetemi/postate pure
http://www.xchris.net/index.php?page=Shorewall_1
ciauz
EDIT:dimenticavo di ringraziare gutter e earcar per aver letto la prima parte _________________ while True:Gentoo() |
|
Back to top |
|
|
arnor Tux's lil' helper
Joined: 01 Nov 2004 Posts: 147
|
Posted: Tue Mar 15, 2005 7:53 pm Post subject: |
|
|
Domani pomeriggio conto di essere un tester della tua guida.
Al momento l'ho letta e mi sembra utile con ottimi spunti.
Una sola domanda.
In che modo shorewall tocca i settaggi di iptables che sono stati già stati inseriti es. ip_forwarding nel file /etc/sysctl.conf
Magari nell'introduzione due righe in più su come shorewall si interfaccia a iptables da un punto di vista più tecnico farebbero stare più tranquilli che ci mette le mani per la prima volta.
Ciao lorenzo |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Tue Mar 15, 2005 8:00 pm Post subject: |
|
|
shorewall controlla l'ip_forwarding con entry in shorewall.conf
Diciamo che tutti i punti "critici" vengono sovrascritti da shorewall.
Per maggiorni info guarda il codice direttamente.
Come si interfaccia? In che senso?
semplicemente esegue una serie di iptables bla bla bla
o forse non ho capito la domanda _________________ while True:Gentoo() |
|
Back to top |
|
|
grentis Guru
Joined: 20 Jul 2004 Posts: 321
|
Posted: Tue Mar 15, 2005 8:09 pm Post subject: |
|
|
xchris sei un tesoro...
grazie mille per la guida! |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Tue Mar 15, 2005 8:16 pm Post subject: |
|
|
Chiamarla guida e' un po' troppo.
Direi che e' un introduzione.
Dovrebbe mostrare in modo semplice come "ragiona" shorewall.
Una volta presa la mano diventa veramente facile aggiornare il proprio firewall.
Ciao _________________ while True:Gentoo() |
|
Back to top |
|
|
arnor Tux's lil' helper
Joined: 01 Nov 2004 Posts: 147
|
Posted: Wed Mar 16, 2005 6:19 pm Post subject: |
|
|
ottima guida/introduzione!
Ora ho il fw up sul portatile. Peraltro con "#shorewall check" mi ha segnalato gentilmente di compilare iptables che era meglio
apparte la mia sbadatagine sarebbe carino segnalare nella parte iniziali quali moduli del kernel devono essere presenti.
Domani proverò ad usarlo su un server che sto preparando dove le problematiche sono un po' più complesse... cmq sono fiducioso
grazie ancora Lorenzo |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Wed Mar 16, 2005 11:02 pm Post subject: |
|
|
mettero' magari solo un avviso che serve avere il kernel compilato adeguatamente.
Ogni configurazione puo' richiedere una diversa configurazione e quindi non ho proprio voglia di impazzire dietro ai moduli (o -) da mettere.
Sono contento che sia andato tutto bene
Che tipo di server e'? quale utilizzo? _________________ while True:Gentoo() |
|
Back to top |
|
|
|