Langsame Firewall

List overview All Threads
Download

newer

older

rc.config bei Suse 6.1 - Firewall...

Mutt in Farbe

christina.stanciulescu＠chello.at

30 May 2000 30 May '00

16:58

Hallo Liste!

Ich hab da eine fuktionierende firewall, doch leider wenn ich sie einsetze, wird der zugriff auf unserem webserver deutlich langsamer.

Hat vielleicht schon jemand damit zu tun gehabt ? Woran liegt es ?

danke euch

cristina

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

Show replies by date

Wolfgang.Wagner＠allgaeu.org

30 May 30 May

16:22

Cristina Stanciulescu wrote:

...

Ich hab da eine fuktionierende firewall, doch leider wenn ich sie einsetze, wird der zugriff auf unserem webserver deutlich langsamer.

Hat vielleicht schon jemand damit zu tun gehabt ? Woran liegt es ?

Wenn die Firewall funktioniert, dann muß sie jedes Paket anhand von irgendwelchen mehr oder weniger kompizierten Regeln überprüfen. Das kostet natürlich Zeit -> Zugriff wird langsamer

Ist das eine kommerzielle FW oder eine selbstgestrickte?

mfG

Wolfgang Wagner

-- Wolfgang.Wagner@allgaeu.org

Deutsches LinuxUserGroup-Treffen am 2.-4.6.2000 http://www.lug-camp.de

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

christina.stanciulescu＠chello.at

31 May 31 May

03:13

Hi Wolfgang

Wolfgang Wagner wrote:

...

Wenn die Firewall funktioniert, dann muß sie jedes Paket anhand von irgendwelchen mehr oder weniger kompizierten Regeln überprüfen. Das kostet natürlich Zeit -> Zugriff wird langsamer

...

Ist das eine kommerzielle FW oder eine selbstgestrickte?

SElbstgestrickte, mit ipchains. Übrigens, habe SUSE 6.4. Aber macht das ein unterschied? Wenn ich die mitgelieferten skripts verwende, kannŽs doch nicht schneller werden. Die regeln sind ja dieselben.

danke mfg cristina

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

Wolfgang.Wagner＠allgaeu.org

15:17

Cristina Stanciulescu wrote:

...

SElbstgestrickte, mit ipchains. Übrigens, habe SUSE 6.4. Aber macht das ein unterschied? Wenn ich die mitgelieferten skripts verwende, kannŽs doch nicht schneller werden. Die regeln sind ja dieselben.

Bei ner selbstgestrickten FW tippe ich auf einen Konfigurationsfehler, da die Konfig etwas mehr ist als nur ein par ipchains-Regeln. (siehe andere Mails)

Bei einer kommerziellen FW (Blacxkbox - keiner weiß so genau, was sie tut) hätte evt. der Hersteller Mist gebaut oder Deine Umgebung wäre irgendwie exotisch.

mfG

Wolfgang Wagner

-- Wolfgang.Wagner@allgaeu.org

Deutsches LinuxUserGroup-Treffen am 2.-4.6.2000 http://www.lug-camp.de

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

christina.stanciulescu＠chello.at

17:26

Wolfgang Wagner wrote:

...

Bei ner selbstgestrickten FW tippe ich auf einen Konfigurationsfehler, da die Konfig etwas mehr ist als nur ein par ipchains-Regeln. (siehe andere Mails)

Die geschichte ist zwar erledigt (s.vorige mail), aber trotzdem ... was ist mehr an einer firewall außer eben den ipchains regeln ?

Ich hab gerade auch die anderen mails zum thema gelesen (zumindest die von diesem monat) doch klar ist mir nicht was Du meinst.

mfg

cristina

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

Martin.Stark＠rz-online.de

1 Jun 1 Jun

06:03

Cristina Stanciulescu produced 0,5K in 20 lines...

...

Wolfgang Wagner wrote:

...
...
Bei ner selbstgestrickten FW tippe ich auf einen Konfigurationsfehler, da die Konfig etwas mehr ist als nur ein par ipchains-Regeln. (siehe andere Mails)

Die geschichte ist zwar erledigt (s.vorige mail), aber trotzdem ... was ist mehr an einer firewall außer eben den ipchains regeln ?

nun... an einer echten Firewall ist viiiel mehr als nur ipchains-Regeln... (siehe einschlägige Literatur)

bei SuSE's firewall aber auch schon:

iehe /sbin/SuSEfirewal ... so ab Zeile 380: Routing nach Bedarf einschalten und "more kernel stuff" (echo dies und das...)

Gruß, Martin

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

falk＠hb-fein.de

30 May 30 May

16:23

Hi Christina

On Tue, 30 May 2000, Cristina Stanciulescu wrote:

...

Ich hab da eine fuktionierende firewall, doch leider wenn ich sie einsetze, wird der zugriff auf unserem webserver deutlich langsamer.

Zugriff von aussen oder von innen? Was ist /deutlich langsamer/ ? 10% 20% halb so schnell?

...

Woran liegt es ?

Jeder Router auf dem Weg hat Latenzzeiten, eine Firewall ist im Prinzip nix anderes mit zusätzlichen Paketfiltern. Wenn die Firewall etwas schwach auf der Brust ist wirk sich das natürlich sofort auf die Zugriffszeiten aus.

-- MfG. F.Sauer HB-Feinmechanik GmbH Abt. Elektrokonstruktion Finsinger Straße 1 D-94526 Metten Tel. +49-991-9107-119 Fax. +49-991-9107-153 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

christina.stanciulescu＠chello.at

31 May 31 May

03:07

Falk Sauer wrote:

...

Hi Christina

Hi Falk!

...

Zugriff von aussen oder von innen? Was ist /deutlich langsamer/ ? 10% 20% halb so schnell?

Ohne firewall dauertŽs ein paar sekunden bis die seite kommt. Mit, kannŽs eine minute werden.

...

...
Woran liegt es ?

Jeder Router auf dem Weg hat Latenzzeiten, eine Firewall ist im Prinzip nix anderes mit zusätzlichen Paketfiltern. Wenn die Firewall etwas schwach auf der Brust ist wirk sich das natürlich sofort auf die Zugriffszeiten aus.

Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M ) Oder soll ich die ganze kiste wechseln? Die jetztige hat 166 MHz.

ciao und danke

cristina

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

heiko.degenhardt＠sentec-elektronik.de

02:47

Hallo Cristina!

Cristina Stanciulescu wrote:

...

... Ohne firewall dauertŽs ein paar sekunden bis die seite kommt. Mit, kannŽs eine minute werden.

Muss Deine Firewall DNS machen? Oder hast Du die Regeln auf IP-Basis? Wieviele Regeln sind es denn? (Wenn Du willst, kannst Du sie mir mal per PM schicken).

...

... Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M )

Reicht imho (meine laeuft hier auf einem 486/66, mit 16MB RAM. Ich habe aber auch nicht allzu viele Nutzer).

Rgds. Heiko.

-- Nuetzliche Samba-Doku online: http://de.samba.org/samba/docs/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

cst＠wohlmann.at

03:52

New subject: AW: Langsame Firewall

...

Hallo Cristina!

Hallo Heiko!

...

...
Ohne firewall dauertŽs ein paar sekunden bis die seite kommt. Mit, kannŽs eine minute werden.

Muss Deine Firewall DNS machen? Oder hast Du die Regeln auf IP-Basis?

Die regeln sind ausschliesslich auf IP basis.

...

Wieviele Regeln sind es denn?

Schon ziemlich viele, aber die für den web server hab ich ganz am anfang gestellt, damit er sie schnell findet.

...

(Wenn Du willst, kannst Du sie mir mal per PM schicken).

...
... Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M )

Reicht imho (meine laeuft hier auf einem 486/66, mit 16MB RAM. Ich habe aber auch nicht allzu viele Nutzer).

mfg & thanx cristina

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

dhebenstreit＠rios.de

03:09

Cristina Stanciulescu wrote:

...

Ohne firewall dauertŽs ein paar sekunden bis die seite kommt. Mit, kannŽs eine minute werden.

Hmm, das erscheint mir nicht mehr normal...

...

...
...
Woran liegt es ?

Jeder Router auf dem Weg hat Latenzzeiten, eine Firewall ist im Prinzip nix anderes mit zusätzlichen Paketfiltern. Wenn die Firewall etwas schwach auf der Brust ist wirk sich das natürlich sofort auf die Zugriffszeiten aus.

Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M ) Oder soll ich die ganze kiste wechseln? Die jetztige hat 166 MHz.

Das sollte eigentlich ausreichend sein; hier läuft die Firewall auf einem P133/64MB und es gibt keine erkennbaren Verzögerungen. Ich tippe deshalb mal auf ein DNS-Problem, bzw. Timeouts bei der Auflösung (Reverse-Lookup?) von Adressen - immer wieder gerne gesehen ;-)

Gruß hebi

LINUX-User helfen Schulen http://www.pingos.schulnetz.org

-- Dirk Hebenstreit Tel.: 0170 2461522 Eschenweg 3 033200 85997 14558 Bergholz-Rehbrücke FAX : 033200 85999 dhebenstreit@rios.de dhebi@gmx.net --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

dirk.schreiner＠mch.sbs.de

03:16

Hallo,

...

Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M ) Oder soll ich die ganze kiste wechseln? Die jetztige hat 166 MHz.

Weder noch, aber Du solltest mal schaun ob Dein Server mit FW noch DNS kann. Das ganze sieht naemlich stark nach einem Timeout durch Fehlkonfig. aus. Lies alle Logfiles genau.

Dirk

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

falk＠hb-fein.de

04:01

Hi Cristina

On Wed, 31 May 2000, Cristina Stanciulescu wrote:

...

Ohne firewall dauertŽs ein paar sekunden bis die seite kommt. Mit, kannŽs eine minute werden.

also faktor 10 langsamer, das ist nicht normal und deutet eher auf ein grundsätzliches Problem des firewalls hin.

...

Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M ) Oder soll ich die ganze kiste wechseln? Die jetztige hat 166 MHz.

vermutlich nicht, das hört sich so an als wäre auf der firewall ein Stück software was falsch konfiguriert ist, entweder klappt die Namensauflösung nicht richtig oder aber da ist ein schlecht laufender Transparent Proxy drauf. Kann man von hier aus sehr schlecht sagen, ich würde vorschlagen da mal jemanden ran zu lassen der richtig was von der Materie versteht. Mit mehr Input könnte man sicherlich auch aus der Ferne den Fehler finden, dazu brauchts aber deutlich deteiliertere infos.

PS: bei uns reicht ein P166 mit 32MB ohne Transparent Proxy locker für 60 Kisten, der langweilt sich blos.

moser＠egu.schule.ulm.de

11:23

Hallo,

Cristina Stanciulescu wrote:

...

Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M ) Oder soll ich die ganze kiste wechseln? Die jetztige hat 166 MHz.

Sollte reichen. Du kannst ja mal schauen, wie sich die CPU- und Speicherauslastung auf der Firewall-Maschine verhalten. Zum Beispiel mit "top" an der Konsole. Dann muesstest Du eigentlich recht schnell sehen, wie stark die Maschine ausgelastet ist und ob es evtl. an einer zu schmal dimensionierten Hardware liegt oder nicht.

Die Sache mit der Namensaufloesung ist aber IMHO wahrscheinlicher...

Gruss, Steffen

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

c.wohld＠ndh.net

4 Jun 4 Jun

06:22

*On Wed, May 31, 2000 at 09:07:37AM +0200, Cristina Stanciulescu wrote:

...

Falk Sauer wrote:

...

...
Zugriff von aussen oder von innen? Was ist /deutlich langsamer/ ? 10% 20% halb so schnell?

...

Ohne firewall dauertŽs ein paar sekunden bis die seite kommt. Mit, kannŽs eine minute werden.

.....ups, dass ist verdammt langsam. 10 -20 % wäre noch im Rahmen des denkbaren.

...

...
...
Woran liegt es ?

Was filterst du? IP oder Pakete?? Das ist auch ausschlaggebend. (glaub ich)

...

...
Jeder Router auf dem Weg hat Latenzzeiten, eine Firewall ist im Prinzip nix anderes mit zusätzlichen Paketfiltern. Wenn die Firewall etwas schwach auf der Brust ist wirk sich das natürlich sofort auf die Zugriffszeiten aus.

Was heißt schwach auf der Brust?? Die HW? Oder die chains?

...

Hilft etwas, wenn ich nachrüste (mehr speicher? zur zeit 80M ) Oder soll ich die ganze kiste wechseln? Die jetztige hat 166 MHz.

Ist ja noch fetter wie mein router ;) Ich hab allerdings _keinen_ proxy auf dem router, sondern den proxy auf dem server installiert. Da geht eh alles durch.

Auch hab ich keinerlei "Schnickschnack" auf dem router. Angefangen bei X, über compiler... oder ....webmin(?) ;)

Mein router (i468) hat (SuSE 6.2) 16MB RAM, 100 Pentium. Eigene IPchains-fw (Paket-filtering) und masqerading. ....schnurrt wie ein Kätzchen ;)

Einbuße in % : 10% - 15% Geschwindigkeitseinbuße.

....ich denke das ist "normal". Oder hat jemand ganz andere Erfahrungen gemacht, und meint das selbst 10% zuviel ist?

Frage: Ist es ratsam einen Virenscanner (aka antivir) auf einem router zu installieren??

Grund: Seit kurzem gehe ich auch mit einem Windows95 über den Linux-router in's I-net.

Gruß, Clemens __ sig_11 Du möchtest die schrecklichen signatures von mir/uns nicht mehr sehen? Nagut, folgendes in die .procmailrc: :0 fBw * ^--$ | sed -e 's/^--$/-- /' ------------------------------------------------------

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

weissel＠netcologne.de

18 Jun 18 Jun

11:24

Clemens Wohld schrieb in 2,1K (70 Zeilen):

...

Frage: Ist es ratsam einen Virenscanner (aka antivir) auf einem router zu installieren??

Ein Router soll routen. Eine Firewall soll filtern. IMHO.

...

Grund: Seit kurzem gehe ich auch mit einem Windows95 über den Linux-router in's I-net.

Kann dein Scanner jedes Paket auseinandernehmen?

Nein? Schade, man kann naemlich TCP/IP auch ueber emails oder DNS-Requests tunneln.

User erziehen, dass diese selber auf Viren pruefen. Hier hast du schonmal einen.

-Wolfgang

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

moser＠egu.schule.ulm.de

31 May 31 May

11:22

Hallo,

Cristina Stanciulescu wrote:

...

Ich hab da eine fuktionierende firewall, doch leider wenn ich sie einsetze, wird der zugriff auf unserem webserver deutlich langsamer.

Hat vielleicht schon jemand damit zu tun gehabt ? Woran liegt es ?

Ich kann mir vorstellen, dass Du in Deiner Firewall-Konfiguration entweder viele Hostnamen drin hast, die der Rechner erst aufloesen muss.

Die andere Moeglichkeit waere, dass durch das Aktivieren der Firewall der Zugriff auf den DNS nicht mehr moeglich ist, sodass die Hostnamensaufloesung nicht mehr richtig funktioniert und dadurch bis zu einem bestimmten Timeout-Wert abgewartet wird.

Gruss, Steffen

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

christina.stanciulescu＠chello.at

17:20

Steffen Moser wrote:

...

Hallo,

Hi Steffen!

...

Ich kann mir vorstellen, dass Du in Deiner Firewall-Konfiguration entweder viele Hostnamen drin hast, die der Rechner erst aufloesen muss.

Nein, es gibt KEINEN hostnamen, nur IP adressen.

...

Die andere Moeglichkeit waere, dass durch das Aktivieren der Firewall der Zugriff auf den DNS nicht mehr moeglich ist, sodass die Hostnamensaufloesung nicht mehr richtig funktioniert und dadurch bis zu einem bestimmten Timeout-Wert abgewartet wird.

Das ist wieder nicht so. DNS (nslookup) funktioniert auch mit der firewall. Und auch alle anderen dienste (mail, surfen )...

UUPS!!! Jetzt gerade hab ich es wieder probiert und es geht urschnell, mit derselben firewall von gestern! Also das problem lag nicht bei meiner firewall...

Tut mir leid für die ganze wirbel, es hat mir trotzdem genutzt, jetzt weiß ich zumindest daß ich die kiste nicht wechseln muß.

Ich danke euch allen für die rasche hilfe!

cristina

--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

8384

Age (days ago)

8403

Last active (days ago)

users-de@lists.opensuse.org

17 comments

11 participants

tags (0)

participants (11)

c.wohld＠ndh.net
christina.stanciulescu＠chello.at
cst＠wohlmann.at
dhebenstreit＠rios.de
dirk.schreiner＠mch.sbs.de
falk＠hb-fein.de
heiko.degenhardt＠sentec-elektronik.de
Martin.Stark＠rz-online.de
moser＠egu.schule.ulm.de
weissel＠netcologne.de
Wolfgang.Wagner＠allgaeu.org