Re[2]: [Comm] firewall - Denis G. Samsonenko

ALT Linux Community general discussions
 help / color / mirror / Atom feed

From: "Denis G. Samsonenko" <earthsea@ngs.ru>
To: Maxim Tyurin <MrKooll@mail.ru>
Cc: Alt Community <community@altlinux.ru>
Subject: Re[2]: [Comm] firewall
Date: Wed, 5 Mar 2003 18:59:19 +0600
Message-ID: <7433982056.20030305185919@ngs.ru> (raw)
In-Reply-To: <20030305093356.GA3629@mrkooll.tdr.pibhe.com>

[-- Attachment #1: Type: text/plain, Size: 1002 bytes --]

Hi!

Wednesday, March 05, 2003, 3:33:56 PM, you wrote:
> У тебя сначала цепочки INPUT разрешается куча соединений. До
> tcp_packets наверное даже не доходит.

Я уже взял за основу rc.UTIN.firewall, немного его подправив. Теперь
вроде всё правильно. Вот только что-то стало круто тормозить, т.е. при
коннекте по ssh и ftp происходит довольно ощутимая задежка, до минуты.
При этом ftp похоже вообще не дожидается ответа.

Когда уже по ssh соединение установилось, то дальше работает
нормально, без тормозов. Т.е. тормозит только при коннекте.

Ещё команда iptables -L как-то тоже тормозит, выдаёт часть списка,
замирает где-то на пол минуты и потом выдаёт остаток.

С чем это может быть связано?

> Пришли вывод 
> iptables -L --line-numbers -v
> (можно приватом) разберемся.

Положил в аттач.

> Или в джаббер постучи - быстрее будет.

Джаббера у меня нету и пользоваться им не умею. Но есть аська, правда
я ей почти не пользуюсь, номер такой: 50434180.

Best regards,

Denis

----------
earthsea@ngs.ru

[-- Attachment #2: ipt.txt --]
[-- Type: text/plain, Size: 3829 bytes --]

iptables -L --line-numbers -v

Chain INPUT (policy DROP 79 packets, 15618 bytes)
num   pkts bytes target     prot opt in     out     source               destination      
1      177 13260 bad_tcp_packets  tcp  --  any    any     anywhere             anywhere   
2        0     0 ACCEPT     all  --  lo     any     localhost.localdomain  anywhere       
3        0     0 ACCEPT     all  --  lo     any     cys.che.intra.net    anywhere         
4        2   190 ACCEPT     all  --  lo     any     cys.che.nsk.su       anywhere         
5      177 13260 tcp_packets  tcp  --  any    any     anywhere             anywhere       
6       71 14730 udp_packets  udp  --  any    any     anywhere             anywhere       
7        2   120 icmp_packets  icmp --  any    any     anywhere             anywhere      
8        5   800 LOG        all  --  any    any     anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: '

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination      

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination      
1      212 13428 bad_tcp_packets  tcp  --  any    any     anywhere             anywhere   
2        0     0 ACCEPT     all  --  any    any     localhost.localdomain  anywhere       
3      216 13682 ACCEPT     all  --  any    any     cys.che.intra.net    anywhere         
4        4   324 ACCEPT     all  --  any    any     cys.che.nsk.su       anywhere         
5        0     0 LOG        all  --  any    any     anywhere             anywhere           limit: avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died: '

Chain allowed (4 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN
2      169 12372 ACCEPT     tcp  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED
3        0     0 DROP       tcp  --  any    any     anywhere             anywhere         

Chain bad_tcp_packets (2 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:'
2        0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN state NEW

Chain icmp_packets (1 references)
num   pkts bytes target     prot opt in     out     source               destination      

1        2   120 ACCEPT     icmp --  any    any     10.1.0.0/16          anywhere           icmp echo-request
2        0     0 ACCEPT     icmp --  any    any     anywhere             anywhere           icmp time-exceeded

Chain tcp_packets (1 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:ftp
2      169 12372 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:ssh
3        0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:http
4        0     0 allowed    tcp  --  any    any     anywhere             anywhere           tcp dpt:auth

Chain udp_packets (1 references)
num   pkts bytes target     prot opt in     out     source               destination      
1        0     0 ACCEPT     udp  --  any    any     anywhere             anywhere           udp spt:ntp

next prev parent reply	other threads:[~2003-03-05 12:59 UTC|newest]

Thread overview: 19+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2003-03-04 14:57 Denis G. Samsonenko
2003-03-04 15:45 ` Dmitry Alexeyev
2003-03-04 16:34   ` Oleg Lukashin
2003-03-04 16:57     ` Re[2]: " Dmitry Alexeyev
2003-03-04 17:23       ` Oleg Lukashin
2003-03-04 17:27       ` Maxim Tyurin
2003-03-05  6:48         ` Re[2]: " Denis G. Samsonenko
2003-03-05  7:18           ` Maxim Tyurin
2003-03-05  8:40             ` Denis G. Samsonenko
2003-03-05  9:33               ` Maxim Tyurin
2003-03-05 12:59                 ` Denis G. Samsonenko [this message]
2003-03-05 13:04                   ` Re[2]: " Vitaly Ostanin
2003-03-05 13:30                   ` Antonio
2003-03-05 13:36                     ` Re[3]: " Denis G. Samsonenko
2003-03-06  8:00                       ` Andrei M. Laptev
2003-03-06 14:40                         ` Re[2]: " Denis G. Samsonenko
2003-03-05  6:38   ` Denis G. Samsonenko
2003-03-05  8:33 ` Alex Yustasov
2003-03-05  8:45   ` Denis G. Samsonenko

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=7433982056.20030305185919@ngs.ru \
    --to=earthsea@ngs.ru \
    --cc=MrKooll@mail.ru \
    --cc=community@altlinux.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git