Re: ipchains Firewall - perfomance
"Thilo Bangert"
Yepp, ich bin mir sicher, denn wenn ich die kette lösche (ohne neustart) funktioniert alles einwandfrei.
Das heisst nur, dass die Firewall zumindest ein Teil der Ursache ist.
ich habe jetzt auch versucht mal nicht zu loggen - gleiches problem!
Dann ist es ziemlich sicher kein Performance-Problem. Koennte es sein, dass irgendwelche wichtigen Pakete (z.B. DNS-Anfragen oder -Antworten) von der Firewall geblockt werden? Vielleicht geben die von der Firewall erzeugten Log-Messages ja irgendwelche Hinweise, etwa blockierte Pakete die immer zusammen mit den Verbindungsversuchen auftreten.
gibtŽs ne ipchains mailinglist?
Moeglich, aber mir ist keine bekannt. Fuer Sicherheitsfragen im Zusammenhang mit SuSE bietet sich suse-security an, ist allerdings englischsprachig. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hey, danke Du hast mir schon sehr weiter geholfen. Folgende, sind die pakete
die von der input kette geblockt werden (letzte regel in der input kette
(policy DENY) ) : (gekürtzt)
192.168.0.99 ist der host von dem ich zu connecten versuche. 192.168.0.20x
der Host (ip-aliasing) auf dem die server laufen.
Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.200:1035 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.200:1035 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.200:1035 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40
S=0x00 I=
Packet log: input - eth0 PROTO=17 192.168.0.99:138 192.168.0.255:138 L=255
S=0x00 I
Packet log: input - eth0 PROTO=17 192.168.0.99:138 192.168.0.255:138 L=236
S=0x00 I
Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78
S=0x00 I=
Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78
S=0x00 I=
Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78
S=0x00
---------------
Also ein paar udp requests and die broadcast address (warum?) und tcp an die
port 1033, 1034, 1035.
Das verwunderliche ist, das ein ssh-zugang auf anhieb gelingt, und auch
nicht pakete wie oben angezeigt auslöst.
ich hoffe jemand kann helfen...
Thilo
----- Original Message -----
From: Eilert Brinkmann
Yepp, ich bin mir sicher, denn wenn ich die kette lösche (ohne neustart) funktioniert alles einwandfrei.
Das heisst nur, dass die Firewall zumindest ein Teil der Ursache ist.
ich habe jetzt auch versucht mal nicht zu loggen - gleiches problem!
Dann ist es ziemlich sicher kein Performance-Problem. Koennte es sein, dass irgendwelche wichtigen Pakete (z.B. DNS-Anfragen oder -Antworten) von der Firewall geblockt werden? Vielleicht geben die von der Firewall erzeugten Log-Messages ja irgendwelche Hinweise, etwa blockierte Pakete die immer zusammen mit den Verbindungsversuchen auftreten.
gibtŽs ne ipchains mailinglist?
Moeglich, aber mir ist keine bekannt. Fuer Sicherheitsfragen im Zusammenhang mit SuSE bietet sich suse-security an, ist allerdings englischsprachig. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Die, 04 Jul 2000, Thilo Bangert wrote:
Dann ist es ziemlich sicher kein Performance-Problem. Koennte es sein, dass irgendwelche wichtigen Pakete (z.B. DNS-Anfragen oder -Antworten) von der Firewall geblockt werden? Vielleicht geben die von der Firewall erzeugten Log-Messages ja irgendwelche Hinweise, etwa blockierte Pakete die immer zusammen mit den Verbindungsversuchen auftreten.
Sehr sinnvoll ist auch mal mit TCPDUMP auf dem device mit zuloggen, was kommt, was geht, und was verschluckt wird ;) hat zumindest mir immer geholfen, das problem einzugrenzen.
gibtŽs ne ipchains mailinglist? Moeglich, aber mir ist keine bekannt. Fuer Sicherheitsfragen im Zusammenhang mit SuSE bietet sich suse-security an, ist allerdings englischsprachig.
ja es gibt eine IP-Chains-Liste - und die SuSE-Security ist ganz sicher der falsche ansatz bei filer-regel-problemen ;) Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 Jörg Henner & Adrian Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Webhosting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hey, danke Du hast mir schon sehr weiter geholfen. Folgende, sind die
Okay, die udp pakete and die broadcast addresse (port137) sind
netbios-pakete - kann ich also getrost vergessen.
darüber hinaus habe ich gesehen, dass named auch den port 1032 öffnet (nicht
listen).
ich kann weitere hin die pakete von dem anfragende host an die ports 1033,
1034 und 1035 nicht erklären. Sollte ich diese dann einfach frei machen?
gruss thilo
----- Original Message -----
From: Thilo Bangert
die von der input kette geblockt werden (letzte regel in der input kette (policy DENY) ) : (gekürtzt)
192.168.0.99 ist der host von dem ich zu connecten versuche. 192.168.0.20x der Host (ip-aliasing) auf dem die server laufen.
Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.200:1035 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.200:1035 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.200:1035 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1033 L=40 S=0x00 I= Packet log: input - eth0 PROTO=6 192.168.0.99:113 192.168.0.201:1034 L=40 S=0x00 I= Packet log: input - eth0 PROTO=17 192.168.0.99:138 192.168.0.255:138 L=255 S=0x00 I Packet log: input - eth0 PROTO=17 192.168.0.99:138 192.168.0.255:138 L=236 S=0x00 I Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78 S=0x00 I= Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78 S=0x00 I= Packet log: input - eth0 PROTO=17 192.168.0.99:137 192.168.0.255:137 L=78 S=0x00
---------------
Also ein paar udp requests and die broadcast address (warum?) und tcp an die port 1033, 1034, 1035.
Das verwunderliche ist, das ein ssh-zugang auf anhieb gelingt, und auch nicht pakete wie oben angezeigt auslöst.
ich hoffe jemand kann helfen...
Thilo ----- Original Message ----- From: Eilert Brinkmann
To: Sent: Monday, July 03, 2000 8:12 PM Subject: Re: ipchains Firewall - perfomance "Thilo Bangert"
wrote: Yepp, ich bin mir sicher, denn wenn ich die kette lösche (ohne neustart) funktioniert alles einwandfrei.
Das heisst nur, dass die Firewall zumindest ein Teil der Ursache ist.
ich habe jetzt auch versucht mal nicht zu loggen - gleiches problem!
Dann ist es ziemlich sicher kein Performance-Problem. Koennte es sein, dass irgendwelche wichtigen Pakete (z.B. DNS-Anfragen oder -Antworten) von der Firewall geblockt werden? Vielleicht geben die von der Firewall erzeugten Log-Messages ja irgendwelche Hinweise, etwa blockierte Pakete die immer zusammen mit den Verbindungsversuchen auftreten.
gibtŽs ne ipchains mailinglist?
Moeglich, aber mir ist keine bekannt. Fuer Sicherheitsfragen im Zusammenhang mit SuSE bietet sich suse-security an, ist allerdings englischsprachig.
Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (3)
-
eilert@Informatik.Uni-Bremen.DE
-
jhe@lihas.de
-
thilo.bangert@gmx.net