Forum Linux.debian/ubuntu Problème de lenteur après activation de netfliter

• # tcp syn flood

  Posté par nono14 (site web personnel) le 02 septembre 2008 à 13:38. Évalué à 2.

  

  As-tu cherché et compris ?
  Une piste : => google : syn-flood

  Système - Réseau - Sécurité Open Source

• # Et le DNS ?

  Posté par Amand Tihon (site web personnel) le 02 septembre 2008 à 13:56. Évalué à 2.

  

  Tu n'as pas oublié d'autoriser les requêtes DNS, dans ton firewall ? Elles sont souvent utilisées lors des connexions, pour effectuer une résolution inverse.

  • [^] # Re: Et le DNS ?

    Posté par nono14 (site web personnel) le 02 septembre 2008 à 14:04. Évalué à 1.

    

    Un serveur ssh parano n'autorise pas ( en principe ) les connections sans reverse dns correct.
    
    Tu n'aurais pas limité le nb de paquet par seconde sur les connections
    NEW, ESTABLISHED trop violemment ?

    Système - Réseau - Sécurité Open Source

  • [^] # Re: Et le DNS ?

    Posté par Xarli (site web personnel) le 02 septembre 2008 à 15:32. Évalué à 0.

    

    Autre méthode pour éviter les timeout, place dans le fichier de conf du serveur SSH (normalement /etc/ssh/sshd_config) :
    
    UseDNS no
    
    Dans beaucoup de cas, c'est superflu, pour de l'accès depuis un réseau privé, et ça accélère beaucoup les choses.

    • [^] # Re: Et le DNS ?

      Posté par rom_gui le 02 septembre 2008 à 19:12. Évalué à 1.

      

      Bonjour,
      
      Merci pour vos réponses.
      Néammoins, je n'ai absolument pas limité les connexions.
      J'ai utilisé Netfilter avec la base, c'est a dire bloquer tout le traffic entrant, sauf le http pour tout le monde, le ssh pour certaines IP...
      
      Egalement le traffic local..
      
      Je n'ai pas configuré syn-flood...
      Est-ce qu'il se met par défaut ?
      
      Sinon, j'ai besoin du DNS, c'est un serveur Web.. NON ???
      
      Merci

      • [^] # Le script de firewall ?

        Posté par nono14 (site web personnel) le 02 septembre 2008 à 19:32. Évalué à 2.

        

        Avec le script de firewall, ce serait plus simple.

        Système - Réseau - Sécurité Open Source

• # dns toujours et encore

  Posté par Kerro le 03 septembre 2008 à 01:09. Évalué à 3.

  

  Tu devrais poster ici tes paramètres netfilter. Je suis quasi certain que tu as indiqué une adresse dns (monposte.mondomaine.com) au lieu d'une adresse numérique pour autoriser les connexions vers ton port ssh.
  Chaque paquet entrant et/ou sortant fait alors l'objet d'une résolution inverse. Et en plus de ça tu as peut-être un problème de dns.
  
  remplace monposte.mondomaine.com par 123.123.123.123
  
  J'ai bon ? :-)

  • [^] # Re: dns toujours et encore

    Posté par rom_gui le 03 septembre 2008 à 11:54. Évalué à 1.

    

    Non, j'ai tout mis par IP

    • [^] # Re: dns toujours et encore

      Posté par Kerro le 03 septembre 2008 à 13:44. Évalué à 3.

      

      Donc j'ai faux :-)
      
      Mais je réitère: tu devrais poster ton paramétrage.

      • [^] # Re: dns toujours et encore

        Posté par rom_gui le 08 septembre 2008 à 13:27. Évalué à 1.

        

        Voila je poste mon script.
        J'ai du mettre des * dans les commentaire et pour les IP car ceci est confidentiel.
        
        #!/bin/bash
        
        #Parametrage netfilter pour ***********
        
        ##Autorisation du trafic local
        iptables -I INPUT -i lo -j ACCEPT
        
        ##Autorisation du ping
        iptables -A INPUT -p icmp -j ACCEPT
        
        ##Autorisation du ssh
        #***********
        iptables -A INPUT -s ************ -p tcp -i eth0 --dport ssh -j ACCEPT
        iptables -A INPUT -s ************ -p tcp -i eth0 --dport ssh -j ACCEPT
        #***********
        iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT
        iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT
        #***********
        iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT
        #***********
        iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT
        
        ##Autorisation du port 80
        iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
        
        ##On bloque le trafic restant
        iptables -P INPUT DROP

        • [^] # Re: dns toujours et encore

          Posté par nono14 (site web personnel) le 08 septembre 2008 à 20:25. Évalué à 1.

          

          hum , il manque des choses...
          si tu mets ça en prod ça craint !!!
          il manque le dns...
          Question sécurité c'est *light*, pas de suivi de connection...
          
          Problème de dns => lenteurs ( le dns c'est vital !!! )

          Système - Réseau - Sécurité Open Source

          • [^] # Un point de départ

            Posté par nono14 (site web personnel) le 08 septembre 2008 à 20:50. Évalué à 1.

            

            http://www.netfilter.org

            Système - Réseau - Sécurité Open Source

            • [^] # Re: Un point de départ

              Posté par rom_gui le 08 septembre 2008 à 23:46. Évalué à 1.

              

              Pourrais tu me dire ce qu'il manque et qui te parait vital ??
              Merci pour tes réponses

              • [^] # LE DNS

                Posté par nono14 (site web personnel) le 08 septembre 2008 à 23:54. Évalué à 1.

                

                grep -w 53 /etc/services

                Système - Réseau - Sécurité Open Source

                • [^] # Re: LE DNS

                  Posté par rom_gui le 09 septembre 2008 à 12:02. Évalué à 0.

                  

                  domain 53/tcp # name-domain server
                  domain 53/udp

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.