iptables通過による速度ダウンの意見ください。

このスレッドはクローズされています。記事の閲覧のみとなります。

iptables通過による速度ダウンの意見ください。

æ¥æï¼ 2005/05/02 12:31
ååï¼ yanagi

Linuxサーバ自身によるファイアウォールを立てたのですが、余りにも速度が落ちます。(ページ表示、特にCGIページ) 体感で5,6倍ほど、長くなったように感じます。これは当然の事でしょうか？ぜひ皆さんの御意見を、聞かせてください。

Page: [1] [2] [3]

■ コンテンツ関連情報

Re: iptables通過による速度ダウンの意見ください。 ( No.6 )

æ¥æï¼ 2005/05/07 13:34
ååï¼ yanagi

Kuromaさん、報告します。速度的には、かなり以前に近づきましたが...(やっぱり少しだけもたつく感じ)。以下にルール設定を記します。 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -j LOG webサーバサービスを外部に提供する以外は、全て閉じています。内LANからのマスカレードは行いません。 eth0 と eth1 のパケット中継も行いません。まとめてみると、「外部からのフィルタリング」と「サービスポートへのアクセス制限」目的はこんな感じです。上記の設定で問題なければ、次のアプローチ(CGI->PHP)へ進みます。 Kuromaさん、もしくは他のブレインの皆さん、御診断・御助言、お願いいたします。

Re: iptables通過による速度ダウンの意見ください。 ( No.7 )

æ¥æï¼ 2005/05/07 14:10
ååï¼ Kuroma   <ku5ro7ma@inter7.jp>

特に問題はないと思います。確かに私の自宅サーバーでもiptablesを入れてからほんの少しもたつくようになったかもしれませんね。もっと軽くする方法はあるかもしれませんが私には分かりません。

Re: iptables通過による速度ダウンの意見ください。 ( No.8 )

æ¥æï¼ 2005/05/07 14:31
ååï¼ yanagi

Kuromaさん、早いですね！即答感謝します。「問題なし」と言う事で安心しました。(本人は必死でしたから) サイト(自分の運営)内容がテキスト系なら、それほど気にしないのですが、音楽配信がメインでTOP-PAGEに動画もあるので、"もたつき"は、「致命的！」なんです。これから上記のように、CGIからPHPへと移行していこうと思っています。 kuromaさんはどんな環境なんですか？(あんまり突っ込んじゃいけませんか...？)。

Re: iptables通過による速度ダウンの意見ください。 ( No.9 )

æ¥æï¼ 2005/05/07 15:37
ååï¼ Kuroma   <ku5ro7ma@inter7.jp>

いろいろなところで書いているのですが・・・ネットワーク環境です。 Internet | ルーター |   | |   Server | 第二のルーター | クライアントこのようにしています。ですからサーバー側のiptablesは念のためといった感じです。こういった場合パケットフィルタよりもそれぞれのデーモンの強化に力を入れるべきかもしれませんが・・・サーバーのスペックに関しては何度も書いているので省略します。 OSはFC3で用途は Webサーバー(PHP MySQL) Mailサーバー (Postfix/フリーメールから転送してスパム・ウイルスの駆除) DNSサーバー (LANの中のみで利用) OpenSSH (管理用) 程度です。 Dyndnsを利用していて昔はDiCEも使っていたのですがなぜか動かなくなったのでddclientという海外のソフトを使っています。他は ClamAV chkrootkit Tripwire LogWatch などを入れています。 Postfixのウイルス・スパム対策はそれぞれ ClamAV・SpamAssassin で行っています。ルーターを二重にすることによってサーバーに侵入されたときのクライアントへの被害を最小限にしています。ちなみにPerlやPHPはmod_perlとかPHPAとか言うものを組み込むと無料でそれなりの高速化が実現できるようなので調べてみてはどうでしょうか。

Re: iptables通過による速度ダウンの意見ください。 ( No.10 )

æ¥æï¼ 2005/05/07 15:50
ååï¼ yanagi

Kuromaさん、お付き合いありがとうございます。すごい"鉄壁防御"ですね。２重のルータで２枚のファイアウォールを立てて、サーバ内にもう一枚のファイアウォール(iptables)を立てているわけですよね。ルータの簡易ウォールでも、機種によって弱点が違って、クラッカー等の攻撃には有効(時間稼ぎ、意気喪失)になるんでしょうか？勝手に想像してしまいましたが...。僕はDDNSサービスが利用したかったので、ルータを入れました。当初の計画を１つずつ(つまづきながらも)進めて、構築してきています。 CGI の mod_perl,PHP の PHPA 。情報ありがとうございます。僕も少し調べて承知していましたが、PHP高速化ツールには Zend Optimizer と PHP Accelerator が有名のようですね。まずはPHP構文の勉強をして、それから組み込んで見たいと思います。 (CGI/Perlでひっくり返りそうなくらい苦労したのに...もうひと頑張りです)

Page: [1] [2] [3]

■ その他

ページ先頭へ

iptables通過による速度ダウンの意見ください。
æ¥æï¼ 2005/05/02 12:31 ååï¼ yanagi `Linuxサーバ自身によるファイアウォールを立てたのですが、余りにも速度が落ちます。(ページ表示、特にCGIページ) 体感で5,6倍ほど、長くなったように感じます。これは当然の事でしょうか？ぜひ皆さんの御意見を、聞かせてください。`

Re: iptables通過による速度ダウンの意見ください。 ( No.6 )
æ¥æï¼ 2005/05/07 13:34 ååï¼ yanagi Kuromaさん、報告します。速度的には、かなり以前に近づきましたが...(やっぱり少しだけもたつく感じ)。以下にルール設定を記します。 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -j LOG webサーバサービスを外部に提供する以外は、全て閉じています。内LANからのマスカレードは行いません。 eth0 と eth1 のパケット中継も行いません。まとめてみると、「外部からのフィルタリング」と「サービスポートへのアクセス制限」目的はこんな感じです。上記の設定で問題なければ、次のアプローチ(CGI->PHP)へ進みます。 Kuromaさん、もしくは他のブレインの皆さん、御診断・御助言、お願いいたします。
Re: iptables通過による速度ダウンの意見ください。 ( No.7 )
æ¥æï¼ 2005/05/07 14:10 ååï¼ Kuroma <ku5ro7ma@inter7.jp> `特に問題はないと思います。確かに私の自宅サーバーでもiptablesを入れてからほんの少しもたつくようになったかもしれませんね。もっと軽くする方法はあるかもしれませんが私には分かりません。`
Re: iptables通過による速度ダウンの意見ください。 ( No.8 )
æ¥æï¼ 2005/05/07 14:31 ååï¼ yanagi Kuromaさん、早いですね！即答感謝します。「問題なし」と言う事で安心しました。(本人は必死でしたから) サイト(自分の運営)内容がテキスト系なら、それほど気にしないのですが、音楽配信がメインでTOP-PAGEに動画もあるので、"もたつき"は、「致命的！」なんです。これから上記のように、CGIからPHPへと移行していこうと思っています。 kuromaさんはどんな環境なんですか？(あんまり突っ込んじゃいけませんか...？)。
Re: iptables通過による速度ダウンの意見ください。 ( No.9 )
æ¥æï¼ 2005/05/07 15:37 ååï¼ Kuroma <ku5ro7ma@inter7.jp> いろいろなところで書いているのですが・・・ネットワーク環境です。 Internet \| ルーター \| \| \| Server \| 第二のルーター \| クライアントこのようにしています。ですからサーバー側のiptablesは念のためといった感じです。こういった場合パケットフィルタよりもそれぞれのデーモンの強化に力を入れるべきかもしれませんが・・・サーバーのスペックに関しては何度も書いているので省略します。 OSはFC3で用途は Webサーバー(PHP MySQL) Mailサーバー (Postfix/フリーメールから転送してスパム・ウイルスの駆除) DNSサーバー (LANの中のみで利用) OpenSSH (管理用) 程度です。 Dyndnsを利用していて昔はDiCEも使っていたのですがなぜか動かなくなったのでddclientという海外のソフトを使っています。他は ClamAV chkrootkit Tripwire LogWatch などを入れています。 Postfixのウイルス・スパム対策はそれぞれ ClamAV・SpamAssassin で行っています。ルーターを二重にすることによってサーバーに侵入されたときのクライアントへの被害を最小限にしています。ちなみにPerlやPHPはmod_perlとかPHPAとか言うものを組み込むと無料でそれなりの高速化が実現できるようなので調べてみてはどうでしょうか。
Re: iptables通過による速度ダウンの意見ください。 ( No.10 )
æ¥æï¼ 2005/05/07 15:50 ååï¼ yanagi Kuromaさん、お付き合いありがとうございます。すごい"鉄壁防御"ですね。２重のルータで２枚のファイアウォールを立てて、サーバ内にもう一枚のファイアウォール(iptables)を立てているわけですよね。ルータの簡易ウォールでも、機種によって弱点が違って、クラッカー等の攻撃には有効(時間稼ぎ、意気喪失)になるんでしょうか？勝手に想像してしまいましたが...。僕はDDNSサービスが利用したかったので、ルータを入れました。当初の計画を１つずつ(つまづきながらも)進めて、構築してきています。 CGI の mod_perl,PHP の PHPA 。情報ありがとうございます。僕も少し調べて承知していましたが、PHP高速化ツールには Zend Optimizer と PHP Accelerator が有名のようですね。まずはPHP構文の勉強をして、それから組み込んで見たいと思います。 (CGI/Perlでひっくり返りそうなくらい苦労したのに...もうひと頑張りです)