iptables通過による速度ダウンの意見ください。

このスレッドはクローズされています。記事の閲覧のみとなります。

iptables通過による速度ダウンの意見ください。

æ¥æï¼ 2005/05/02 12:31
ååï¼ yanagi

Linuxサーバ自身によるファイアウォールを立てたのですが、余りにも速度が落ちます。(ページ表示、特にCGIページ) 体感で5,6倍ほど、長くなったように感じます。これは当然の事でしょうか？ぜひ皆さんの御意見を、聞かせてください。

Page: [1] [2] [3]

■ コンテンツ関連情報

Re: iptables通過による速度ダウンの意見ください。 ( No.1 )

æ¥æï¼ 2005/05/04 18:00
ååï¼ Kuroma

私の環境ではそれほど差を感じませんが・・・あまりに複雑なルールを設定しているのでしょうか？

Re: iptables通過による速度ダウンの意見ください。 ( No.2 )

æ¥æï¼ 2005/05/04 18:24
ååï¼ yanagi

Kuromaさんお久しぶりです。返信ありがとうございます。僕自身"ファイアウォール、ルーティング"に関して初心者なので、 kuromaさんの想像される様な、複雑なルールは書けません。まず、その点を御承知ください。説明しますと、外部通信用"eth0" と内部管理用"eth1" を設置しています。 eth0 はwwwの80ポートのみ開けています。 iptables -A INPUT -i eth0 -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 下行は「確立されたアクセスを許す」と言う、お決まりの記述ですよね。 eth0 に関しては、これだけです。(必須記述は省略しました) 最低限の設定だと思うのですが。 kuromaさん...どう思われますか？

Re: iptables通過による速度ダウンの意見ください。 ( No.3 )

æ¥æï¼ 2005/05/05 10:21
ååï¼ Kuroma <ku5ro7ma@inter7.jp>

yanagiさんの設定した iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT は FORWARD でなく INPUT だと思います。私は FORWARD に関してはすべてDROPにしていますが特に問題ありません。また最低限の設定としては INPUTで着信インターフェースがloのものを許可 INPUTのICMPを許可(ping を拒否したいのなら ICMPタイプ8を拒否) があると思います。 iptablesに関して分かりやすく説明しているサイトはあまりないので私は「Linuxセキュリティクックブック―システム防御のためのレシピ集」という本を図書館で借りて参考にしました。

Re: iptables通過による速度ダウンの意見ください。 ( No.4 )

æ¥æï¼ 2005/05/05 21:52
ååï¼ yanagi

Kuromaさん、アドバイスありがとうございます。僕自身、「iptables の設定」について、かなり "google" で探しました。でもよく分かりませんでした。(どれが良いのかという意味) 「基本を正しく習得したい」と努力しています。上の設定は、僕の手元にある "秀和システム"さんの"FedoraCore2 Linuxサーバ構築編" の記載を参考にしたものです。 kuromaさんの指摘箇所は、記載文のままです。(MASQURADEの関係でしょうか) アドバイスに従って設定し、速度差を試してみたいと思います。 kuromaさん、１つ質問ですが、 run-level-3 の log-in 待機画面で書き出される情報は、 iptables の INPUT で DROP されたログですか？あってますか？

Re: iptables通過による速度ダウンの意見ください。 ( No.5 )

æ¥æï¼ 2005/05/06 21:38
ååï¼ Kuroma <ku5ro7ma@inter7.jp>

すいません。私もLinuxに関しては初心者なので詳しいログなどは分かりません。お使いの本はおそらくLinuxサーバの入門書でしかもAmazonでの評判もあまりよくないためセキュリティに関することはあまり詳しく書いていないのだと思います。あと、Linuxをルーターとして利用したいならばFORWARDをすべて拒否してはいけません。適当なものを許可しておくべきです。私の書いた方法を試してみてもうまくいきませんでしたか？

Page: [1] [2] [3]

■ その他

ページ先頭へ

iptables通過による速度ダウンの意見ください。
æ¥æï¼ 2005/05/02 12:31 ååï¼ yanagi `Linuxサーバ自身によるファイアウォールを立てたのですが、余りにも速度が落ちます。(ページ表示、特にCGIページ) 体感で5,6倍ほど、長くなったように感じます。これは当然の事でしょうか？ぜひ皆さんの御意見を、聞かせてください。`

Re: iptables通過による速度ダウンの意見ください。 ( No.1 )
æ¥æï¼ 2005/05/04 18:00 ååï¼ Kuroma `私の環境ではそれほど差を感じませんが・・・あまりに複雑なルールを設定しているのでしょうか？`
Re: iptables通過による速度ダウンの意見ください。 ( No.2 )
æ¥æï¼ 2005/05/04 18:24 ååï¼ yanagi Kuromaさんお久しぶりです。返信ありがとうございます。僕自身"ファイアウォール、ルーティング"に関して初心者なので、 kuromaさんの想像される様な、複雑なルールは書けません。まず、その点を御承知ください。説明しますと、外部通信用"eth0" と内部管理用"eth1" を設置しています。 eth0 はwwwの80ポートのみ開けています。 iptables -A INPUT -i eth0 -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 下行は「確立されたアクセスを許す」と言う、お決まりの記述ですよね。 eth0 に関しては、これだけです。(必須記述は省略しました) 最低限の設定だと思うのですが。 kuromaさん...どう思われますか？
Re: iptables通過による速度ダウンの意見ください。 ( No.3 )
æ¥æï¼ 2005/05/05 10:21 ååï¼ Kuroma <ku5ro7ma@inter7.jp> yanagiさんの設定した iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT は FORWARD でなく INPUT だと思います。私は FORWARD に関してはすべてDROPにしていますが特に問題ありません。また最低限の設定としては INPUTで着信インターフェースがloのものを許可 INPUTのICMPを許可(ping を拒否したいのなら ICMPタイプ8を拒否) があると思います。 iptablesに関して分かりやすく説明しているサイトはあまりないので私は「Linuxセキュリティクックブック―システム防御のためのレシピ集」という本を図書館で借りて参考にしました。
Re: iptables通過による速度ダウンの意見ください。 ( No.4 )
æ¥æï¼ 2005/05/05 21:52 ååï¼ yanagi Kuromaさん、アドバイスありがとうございます。僕自身、「iptables の設定」について、かなり "google" で探しました。でもよく分かりませんでした。(どれが良いのかという意味) 「基本を正しく習得したい」と努力しています。上の設定は、僕の手元にある "秀和システム"さんの"FedoraCore2 Linuxサーバ構築編" の記載を参考にしたものです。 kuromaさんの指摘箇所は、記載文のままです。(MASQURADEの関係でしょうか) アドバイスに従って設定し、速度差を試してみたいと思います。 kuromaさん、１つ質問ですが、 run-level-3 の log-in 待機画面で書き出される情報は、 iptables の INPUT で DROP されたログですか？あってますか？
Re: iptables通過による速度ダウンの意見ください。 ( No.5 )
æ¥æï¼ 2005/05/06 21:38 ååï¼ Kuroma <ku5ro7ma@inter7.jp> すいません。私もLinuxに関しては初心者なので詳しいログなどは分かりません。お使いの本はおそらくLinuxサーバの入門書でしかもAmazonでの評判もあまりよくないためセキュリティに関することはあまり詳しく書いていないのだと思います。あと、Linuxをルーターとして利用したいならばFORWARDをすべて拒否してはいけません。適当なものを許可しておくべきです。私の書いた方法を試してみてもうまくいきませんでしたか？