Имена пользователей в /etc/group
только содержите пользователей, которые находятся в группе как дополнительная группа, не основная группа. Информация основной группы хранится в /etc/passwd
. initgroups (3) страница справочника была единственной документацией, которую я мог найти для указания на это:
NAME
initgroups - initialize the supplementary group access list
FILES
/etc/group group database file
Он выполняет поиск DNS, и поскольку ответ блокируется, требуется некоторое время для тайм-аута.
Попробуйте выполнить iptables -n ... для предотвращения поиска DNS.
conntrack позволяет принимать соединения на эфемерном порту, который был создан для ответов на запросы, инициированные вашей машиной (в данном случае запрос DNS). Без разрешения ESTABLISHED или RELATED соединений даже ответы на ваши запросы блокируются.
Например: если вы попытаетесь зайти на веб-сайт, даже если вы сможете отправить запрос на веб-сайт, ответ веб-сайта будет заблокирован.
С
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP
Ваша машина отбросит каждый входящий пакет, если это не прибудет из порта SSH. Это - хорошая идея, если Вы хотите, чтобы та машина связалась только через SSH. Иначе необходимо добавить
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
это убедит Вы, Вы собираетесь соединиться с некоторым веб-сервером вместо того, чтобы подключиться от кого-то.
-m conntrack
у Вас может быть другой "шанс", что пакеты приняты, прежде чем они будут собираться быть отброшенными наверняка. На клиентской машине Вы должны иметь iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
если Вы хотите видеть некоторый ответ. На стороне сервера просто позвольте входящее соединение SSH и отбросьте все остальное (если сервер действует только как SSH один). Надежда все ясно.
– edmz
29.12.2013, 15:26