PTT數位生活區 / Linux

[問題] iptables問題一問

看板Linux作者 (沒有靈魂的擁抱)時間16年前 (2010/03/02 10:31), 編輯推噓2(2022)
留言24則, 4人參與, 最新討論串1/1
Dear 鄉民~ 看完了遊戲王出場的燈會~還有大大的月亮 是不是覺得夏天就要到了 (結果今天好冷).....咦~離題了 這是我目前server的架構 OS CENTOS 5.4 web server : httpd-2.2.3-31.el5.centos.2 IP addr 10.1.1.1 裡面同時還有dns, sendmail, ftp, mysql 在執行 這是iptables的規則 INPUT Chain -A INPUT -s 10.1.1.1 -i lo -p tcp -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d 127.0.0.1 -i lo -j ACCEPT -A INPUT -j DROP OUTPUT Chain -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -d 127.0.0.1 -o lo -j ACC 自己看了看是沒有甚麼問題~也想了一下 然後..../etc/init.d/iptables給他start下去 花現一個殘忍的事實.....網頁變的超級慢...... 有點卡關~~~ 囧 是不是有哪裡沒有想到呢?? 還請指點囉~ -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.120.3.96 ※ 編輯: tonini 來自: 59.120.3.96 (03/02 10:34) ※ 編輯: tonini 來自: 59.120.3.96 (03/02 10:46)
03/02 11:06, , 1F
80 port要限制NEW,ESTABLISHED的有特別的原因嗎?
03/02 11:06, 1F
03/02 11:20, , 2F
主要是限定TCP一開始三方交握時候的syn syn/ack ...
03/02 11:20, 2F
03/02 11:21, , 3F
比較picky一點啦 XD
03/02 11:21, 3F
03/02 13:30, , 4F
感覺問題是DNS ..
03/02 13:30, 4F
03/02 13:33, , 5F
請問DNS的原因是?
03/02 13:33, 5F
03/02 22:24, , 6F
當時覺得很淒涼......
03/02 22:24, 6F
03/03 15:43, , 7F
DNS 服務的防火牆設定最好查一下,我記得不是這麼簡單
03/03 15:43, 7F
03/03 17:20, , 8F
除了tcp跟udp的53 port還有其他的設定嗎? 另外是~DNS與
03/03 17:20, 8F
03/03 17:20, , 9F
client的web連線應該是沒有相關的吧!?
03/03 17:20, 9F
03/05 07:16, , 10F
不一定沒有相關 像是虛擬伺服器(Virtual Server)就是得依
03/05 07:16, 10F
03/05 07:16, , 11F
賴DNS的解析問題
03/05 07:16, 11F
03/05 07:25, , 12F
我只是覺得奇怪...有一塊幹麻這樣寫?!
03/05 07:25, 12F
03/05 07:26, , 13F
例如: -A INPUT -d 10.1.1.1 -i eth0 -p tcp -m tcp --dpo
03/05 07:26, 13F
03/05 07:26, , 14F
ort XX -j ACCEPT 當中,為什麼要多個 -m tcp 這個部份?
03/05 07:26, 14F
03/05 07:28, , 15F
然後不知道你的iptables的最上方是...
03/05 07:28, 15F
03/05 07:29, , 16F
一般來說預設的三行為 INPUT OUTPUT FORWARD ACCEPT
03/05 07:29, 16F
03/05 07:29, , 17F
不知道你的欄位是怎麼寫的?!
03/05 07:29, 17F
03/06 11:33, , 18F
XD sorry我是從/etc/sysconfig/iptables裡面copy出來的
03/06 11:33, 18F
03/06 11:33, , 19F
我在想應該是把tcp的module load出來吧~跟判斷state的模組
03/06 11:33, 19F
03/06 11:34, , 20F
一樣~我沒有使用virtual server or virtual host :)
03/06 11:34, 20F
03/06 12:48, , 21F
所以你是直接使用IP連線???
03/06 12:48, 21F
03/06 12:52, , 22F
yes...
03/06 12:52, 22F
03/10 11:31, , 23F
你在第二條加入 -A INPUT -s 10.1.1.1 -i eth0 -p tcp --d
03/10 11:31, 23F
03/10 11:31, , 24F
port 80 -j ACCEPT 看看..
03/10 11:31, 24F
更多 tonini 的文章
文章代碼(AID): #1BZ7Xv4X (Linux)
Linux 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 tonini 的文章
文章代碼(AID): #1BZ7Xv4X (Linux)