Re: ipchains Firewall - perfomance
"Thilo Bangert"
ich habe vor kurzem eine Firewall auf meine SuSE 6.4 (Kernel 2.2.16 (nicht von SuSE) eingerichtet.
ich benutze nur die input kette und habe hier ca. 35 einträge. Wenn ich jetzt auf einen service hinter der firewall zugreifen möchte, dauert es ca. 10 sekunden bevor der connect erfolgreich ist. Dazu muss man sagen, das ich auf allen 35 einträgen logge (-l option).
Ich habe zwar keine Erfahrung mit ipchains, aber so ganz allgemein wuerde ich mal sagen, dass sich selbst eine groessere Menge Log-Messages in deutlich weniger als 10 Sekunden schreiben laesst. Bist Du sicher, dass die Verzoegerung direkt durch Deine Firewall entsteht? (Vielleicht versucht der Server, den Domain-Namen des Clients herauszufinden, und das klappt nicht, oder ...) Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Yepp, ich bin mir sicher, denn wenn ich die kette lösche (ohne neustart)
funktioniert alles einwandfrei.
ich habe jetzt auch versucht mal nicht zu loggen - gleiches problem!
gibtŽs ne ipchains mailinglist?
gruss
thilo
----- Original Message -----
From: Eilert Brinkmann
ich habe vor kurzem eine Firewall auf meine SuSE 6.4 (Kernel 2.2.16 (nicht von SuSE) eingerichtet.
ich benutze nur die input kette und habe hier ca. 35 einträge. Wenn ich jetzt auf einen service hinter der firewall zugreifen möchte, dauert es ca. 10 sekunden bevor der connect erfolgreich ist. Dazu muss man sagen, das ich auf allen 35 einträgen logge (-l option).
Ich habe zwar keine Erfahrung mit ipchains, aber so ganz allgemein wuerde ich mal sagen, dass sich selbst eine groessere Menge Log-Messages in deutlich weniger als 10 Sekunden schreiben laesst. Bist Du sicher, dass die Verzoegerung direkt durch Deine Firewall entsteht? (Vielleicht versucht der Server, den Domain-Namen des Clients herauszufinden, und das klappt nicht, oder ...) Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Thilo! (Btw: Bitte quote unterhalb des Textes, auf den Du Dich beziehst. Das erhoeht die Leserlichkeit. Und quote bitte nur den Text, auf den Du Dich beziehst. Das spart Bandbreite): On Mon, Jul 03, 2000 at 07:36:10PM +0200, Thilo Bangert wrote:
... Zu den Performance-Problemen: Ich habe leider Dein erstes Posting verbummelt, aber ich denke, Eilert hatte Dir schon die notwendigen Hinweise gegeben. Es stellt sich z.B. die Frage, ob Deine Firewall DNS-Anfragen starten will, um ihre Regeln auszuwerten (wenn Du also sagst "blocke alles von host.irgendwo.de" und nicht "blocke alles von 192.168.111.11")? Treten die Verzoegerungen immer auf, oder nur z.B. bei telnet? Kann es sein, dass es daran liegt, dass die Gegenseite erst eine Anfrage auf Deinen ident-Port (113/tcp) startet, und dann erst auf einen Timeout warten muss (Anfragen auf diesen Port solltest Du REJECTen)?
gibtŽs ne ipchains mailinglist? ... Ipchains mailing list Ipchains@rustcorp.com http://www.starshadow.com/mailman/listinfo/ipchains ... (kann aber nix ueber die Aktualitaet der Info sagen. ist aus einer Mail vom April).
Rgds. Heiko. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (3)
-
eilert@Informatik.Uni-Bremen.DE
-
heiko.degenhardt@sentec-elektronik.de
-
thilo.bangert@gmx.net