 Re: iptables通過による速度ダウンの意見ください。 ( No.1 ) |
 |
- ????????? 2005/05/04 18:00
- ????????? Kuroma
-
私の環境ではそれほど差を感じませんが・・・
あまりに複雑なルールを設定しているのでしょうか?
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.2 ) |
|
- ????????? 2005/05/04 18:24
- ????????? yanagi
-
Kuromaさん お久しぶりです。
返信ありがとうございます。
僕自身"ファイアウォール、ルーティング"に関して初心者なので、
kuromaさんの想像される様な、複雑なルールは書けません。
まず、その点を御承知ください。
説明しますと、外部通信用"eth0" と内部管理用"eth1" を設置しています。
eth0 はwwwの80ポートのみ開けています。
iptables -A INPUT -i eth0 -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
下行は「確立されたアクセスを許す」と言う、お決まりの記述ですよね。
eth0 に関しては、これだけです。(必須記述は省略しました)
最低限の設定だと思うのですが。
kuromaさん...どう思われますか?
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.3 ) |
|
- ????????? 2005/05/05 10:21
- ????????? Kuroma
<ku5ro7ma@inter7.jp>
-
yanagiさんの設定した
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
は
FORWARD でなく INPUT だと思います。
私は FORWARD に関してはすべてDROPにしていますが特に問題ありません。
また最低限の設定としては
INPUTで着信インターフェースがloのものを許可
INPUTのICMPを許可(ping を拒否したいのなら ICMPタイプ8を拒否)
があると思います。
iptablesに関して分かりやすく説明しているサイトはあまりないので
私は
「Linuxセキュリティクックブック―システム防御のためのレシピ集」
という本を図書館で借りて参考にしました。
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.4 ) |
|
- ????????? 2005/05/05 21:52
- ????????? yanagi
-
Kuromaさん、アドバイスありがとうございます。
僕自身、「iptables の設定」について、かなり "google" で探しました。
でもよく分かりませんでした。(どれが良いのかという意味)
「基本を正しく習得したい」と努力しています。
上の設定は、僕の手元にある "秀和システム"さんの"FedoraCore2 Linuxサーバ構築編"
の記載を参考にしたものです。
kuromaさんの指摘箇所は、記載文のままです。(MASQURADEの関係でしょうか)
アドバイスに従って設定し、速度差を試してみたいと思います。
kuromaさん、1つ質問ですが、
run-level-3 の log-in 待機画面で書き出される情報は、
iptables の INPUT で DROP されたログですか? あってますか?
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.5 ) |
|
- ????????? 2005/05/06 21:38
- ????????? Kuroma
<ku5ro7ma@inter7.jp>
-
すいません。私もLinuxに関しては初心者なので詳しいログなどは分かりません。
お使いの本はおそらくLinuxサーバの入門書でしかもAmazonでの評判もあまりよくないため
セキュリティに関することはあまり詳しく書いていないのだと思います。
あと、Linuxをルーターとして利用したいならばFORWARDをすべて拒否してはいけません。
適当なものを許可しておくべきです。
私の書いた方法を試してみてもうまくいきませんでしたか?
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.6 ) |
|
- ????????? 2005/05/07 13:34
- ????????? yanagi
-
Kuromaさん、報告します。
速度的には、かなり以前に近づきましたが...(やっぱり少しだけもたつく感じ)。
以下にルール設定を記します。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j LOG
webサーバサービスを外部に提供する以外は、全て閉じています。
内LANからのマスカレードは行いません。
eth0 と eth1 のパケット中継も行いません。
まとめてみると、
「外部からのフィルタリング」と「サービスポートへのアクセス制限」
目的はこんな感じです。
上記の設定で問題なければ、次のアプローチ(CGI->PHP)へ進みます。
Kuromaさん、もしくは他のブレインの皆さん、御診断・御助言、お願いいたします。
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.7 ) |
|
- ????????? 2005/05/07 14:10
- ????????? Kuroma
<ku5ro7ma@inter7.jp>
-
特に問題はないと思います。
確かに私の自宅サーバーでもiptablesを入れてからほんの少しもたつくようになったかもしれませんね。
もっと軽くする方法はあるかもしれませんが私には分かりません。
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.8 ) |
|
- ????????? 2005/05/07 14:31
- ????????? yanagi
-
Kuromaさん、早いですね!即答感謝します。
「問題なし」と言う事で安心しました。(本人は必死でしたから)
サイト(自分の運営)内容がテキスト系なら、それほど気にしないのですが、
音楽配信がメインでTOP-PAGEに動画もあるので、"もたつき"は、「致命的!」なんです。
これから上記のように、CGIからPHPへと移行していこうと思っています。
kuromaさんはどんな環境なんですか?(あんまり突っ込んじゃいけませんか...?)。
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.9 ) |
|
- ????????? 2005/05/07 15:37
- ????????? Kuroma
<ku5ro7ma@inter7.jp>
-
いろいろなところで書いているのですが・・・
ネットワーク環境です。
Internet
|
ルーター
| |
| Server
|
第二のルーター
|
クライアント
このようにしています。
ですからサーバー側のiptablesは念のためといった感じです。
こういった場合パケットフィルタよりもそれぞれのデーモンの強化に力を入れるべきかもしれませんが・・・
サーバーのスペックに関しては何度も書いているので省略します。
OSはFC3で用途は
Webサーバー(PHP MySQL)
Mailサーバー (Postfix/フリーメールから転送してスパム・ウイルスの駆除)
DNSサーバー (LANの中のみで利用)
OpenSSH (管理用)
程度です。
Dyndnsを利用していて昔はDiCEも使っていたのですがなぜか動かなくなったのでddclientという海外のソフトを使っています。
他は
ClamAV chkrootkit Tripwire LogWatch などを入れています。
Postfixのウイルス・スパム対策はそれぞれ
ClamAV・SpamAssassin で行っています。
ルーターを二重にすることによってサーバーに侵入されたときのクライアント
への被害を最小限にしています。
ちなみにPerlやPHPはmod_perlとかPHPAとか言うものを組み込むと
無料でそれなりの高速化が実現できるようなので調べてみてはどうでしょうか。
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.10 ) |
|
- ????????? 2005/05/07 15:50
- ????????? yanagi
-
Kuromaさん、お付き合いありがとうございます。
すごい"鉄壁防御"ですね。
2重のルータで2枚のファイアウォールを立てて、
サーバ内にもう一枚のファイアウォール(iptables)を立てているわけですよね。
ルータの簡易ウォールでも、機種によって弱点が違って、
クラッカー等の攻撃には有効(時間稼ぎ、意気喪失)になるんでしょうか?
勝手に想像してしまいましたが...。
僕はDDNSサービスが利用したかったので、ルータを入れました。
当初の計画を1つずつ(つまづきながらも)進めて、構築してきています。
CGI の mod_perl,PHP の PHPA 。情報ありがとうございます。
僕も少し調べて承知していましたが、PHP高速化ツールには
Zend Optimizer と PHP Accelerator が有名のようですね。
まずはPHP構文の勉強をして、それから組み込んで見たいと思います。
(CGI/Perlでひっくり返りそうなくらい苦労したのに...もうひと頑張りです)
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.11 ) |
|
- ????????? 2005/05/07 16:34
- ????????? Kuroma
<ku5ro7ma@inter7.jp>
-
ルーターやiptablesを使って守ることのできることは
不要なサービスにアクセスさせない
ということだけなので
ApacheとかPostfixとかそれぞれのものがしっかり設定されていないと
簡単に侵入されてしまいます。
大変なのはむしろそれぞれのデーモンなんですよね。
|
| Re: iptables通過による速度ダウンの意見ください。 ( No.12 ) |
|
- ????????? 2005/05/07 17:02
- ????????? yanagi
-
本当にその通りだと思います。
僕も"yum"による夜間自動アップデートを実行しています。
「各パッケージを最新の状態に保って、Log管理するのが重要!」って、言われます。
僕は、これからLogのチェックを容易(見易く抜き出すとか)に行えるように、
サーバシステムに手を加えて行きたいとも考えています。
Kuromaさんをはじめ、このサイトには有能な仲間が集っていますから、
頻繁に覗いて、また、相談をお願いに上がると思います。
この件についてのKuromaさんの御援助に感謝いたします。
別件の相談にも乗ってください...。
|
このスレッドはクローズされています。記事の閲覧のみとなります。
iptables通過による速度ダウンの意見ください。