Вопросы Теги

IPTABLES является медленным после добавления '-A, ВВОДИТ ОТБРАСЫВАНИЕ-j' для управления списка

Имена пользователей в /etc/group только содержите пользователей, которые находятся в группе как дополнительная группа, не основная группа. Информация основной группы хранится в /etc/passwd. initgroups (3) страница справочника была единственной документацией, которую я мог найти для указания на это:

NAME
       initgroups - initialize the supplementary group access list
FILES
       /etc/group          group database file
8
28.12.2013, 16:30
2 ответа

Он выполняет поиск DNS, и поскольку ответ блокируется, требуется некоторое время для тайм-аута.

Попробуйте выполнить iptables -n ... для предотвращения поиска DNS.

conntrack позволяет принимать соединения на эфемерном порту, который был создан для ответов на запросы, инициированные вашей машиной (в данном случае запрос DNS). Без разрешения ESTABLISHED или RELATED соединений даже ответы на ваши запросы блокируются.

Например: если вы попытаетесь зайти на веб-сайт, даже если вы сможете отправить запрос на веб-сайт, ответ веб-сайта будет заблокирован.

3
27.01.2020, 20:12

С 

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

Ваша машина отбросит каждый входящий пакет, если это не прибудет из порта SSH. Это - хорошая идея, если Вы хотите, чтобы та машина связалась только через SSH. Иначе необходимо добавить

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

это убедит Вы, Вы собираетесь соединиться с некоторым веб-сервером вместо того, чтобы подключиться от кого-то.

4
27.01.2020, 20:12
  • 1
    В то время как хороший совет в целом, это не отвечает на вопрос, который на самом деле задавали. –  Shadur 28.12.2013, 15:02
  • 2
    @Shadur conntrack имеет значение. Это выступает, отбрасывают все. –  Nils 28.12.2013, 16:13
  • 3
    Если Вы отправите универсальный запрос к веб-серверу через машину как в этом случае, то этот последний ничего не покажет, так как брандмауэр не позволяет отправлять пакеты на машину с установленным соединением. –  edmz 28.12.2013, 16:28
  • 4
    Но даже если я только позволил бы ssh, использующий просто первые две команды, почему команды iptables берут настолько дольше, чем с правилом conntrack... И conntrack управляет средний, который я мог подключить к веб-серверу? Разве это не заставило бы отбрасывание управлять бесполезный? –  mohrphium 29.12.2013, 00:14
  • 5
    Нет, это не было бы. С -m conntrack у Вас может быть другой "шанс", что пакеты приняты, прежде чем они будут собираться быть отброшенными наверняка. На клиентской машине Вы должны иметь iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT если Вы хотите видеть некоторый ответ. На стороне сервера просто позвольте входящее соединение SSH и отбросьте все остальное (если сервер действует только как SSH один). Надежда все ясно. –  edmz 29.12.2013, 15:26

Теги

Похожие вопросы