Ich hab für meinen Server eine einfache FW mit iptables aufgebaut, nur habe ich dabei ein Problem, und zwar dauert jeglicher Verbindungsaufbau einige Zeit lännger, ein Beispiel, SSH Verbindung.

login as: root //dann dauert es ca. 10 Sekunden bis die Passwort abfrage kommt.
Password: ich gebe mein Passwort ein, es dauert ca 10 Sekunden bis die Zeile Have a Lot of Fun auftaucht, danach dauert es 30 - 60 Sekunden bis ich Befehle eingeben kann.


Der Aufruf einer auf dem Server gehosteten Website dauert 20 Sekunden.


Es kann nicht an der Verbindungsgeschwindigkeit liegen, und dieses Phenomen tritt auch nur auf, wenn ich die iptables aktiviere.


Hier mal meine Konfiguration:



#!/bin/sh

IP="meine IP"

DEV="eth0"

echo "Starting myfwall Firewallscript"

#Löschen vorhandener Regeln
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush
iptables --delete-chain

iptables -t nat --delete-chain
iptables -t mangle --delete-chain

#Default Policy
iptables --policy INPUT DROP

#Loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Ping / Traceroute
iptables -A OUTPUT -p icmp -o $DEV --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $DEV --icmp-type echo-reply -j ACCEPT

#DNS Name Server
iptables -A INPUT -p udp -i $DEV --dport 53 -j ACCEPT

#HTTP
iptables -A INPUT -p tcp -i $DEV --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i $DEV --dport 443 -j ACCEPT

#FTP
iptables -A INPUT -p tcp -i $DEV --dport 21 -j ACCEPT

#SSH
iptables -A INPUT -p tcp -i $DEV --dport 22 -j ACCEPT

#Webmin
iptables -A INPUT -p tcp -i $DEV --dport 10000 -j ACCEPT
iptables -A INPUT -p udp -i $DEV --dport 10000 -j ACCEPT

#Teamspeak Server
iptables -A INPUT -p udp -i $DEV --dport 8767 -j ACCEPT

#Counter Strike 1.6 Server #team.Xerx Public
iptables -A INPUT -p udp -i $DEV --dport 27015 -j ACCEPT
iptables -A INPUT -p tcp -i $DEV --dport 27015 -j ACCEPT


echo "done." exit 0

versuch ssh mal weiter oben hinzustellen!!

johnpatcher

Daran kann es auf keinen Fall liegen, zumindest wenn weiter oben keine verzögernden Regeln stehen.

Original geschrieben von TThomas
Daran kann es auf keinen Fall liegen, zumindest wenn weiter oben keine verzögernden Regeln stehen.

hast du ein besseren vorschlag?

//johnpatcher

1. mach deinen Paketfilter RFC konform
2. korrigiere dein DNS einträge

Ich sage ja nur, dass es daran nicht liegen kann.
Hätte ich einen Vorschlag, hätte ich diesen schon geposted.

Was passiert, wenn du nur die SSH-Regel laufen lässt? (Alle anderen raus!)