Forum Linux.debian/ubuntu Problème de lenteur après activation de netfliter

Posté par  .
Étiquettes : aucune
-1
2
sept.
2008
Bonjour,

J'ai un serveur dédié chez OVH.
L'accès SSH fonctionne normalement.
J'ai donc décidé de configurer netfliter via les commandes iptables.
J'ai autoriser le SSH pour certaines IP, le HTTP pour tout le monde (il s'agit d'un serveur web avec apache 2).
J'ai également autorisé le flux local et le ping pour certaines IP.

Mon problème est le suivant.
J'accède bien en SSH au serveur, mais lorsque netfliter fonctionne, j'ai une lenteur impressionnante. Aussi bien au départ pour la connexion SSH que pour la navigation.

J'ai pu voir sur un autre forum qu'il pourrait s'agir de l'option syn-flood protection, mais je ne vois pas très bien à quoi cela correspond.

quelqu'un a-t-il une idée ? Je ne trouve rien sur notre cher ami Google...

Merci

  • # tcp syn flood

    Posté par  (site web personnel) . Évalué à 2.

    As-tu cherché et compris ?
    Une piste : => google : syn-flood

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

  • # Et le DNS ?

    Posté par  (site web personnel) . Évalué à 2.

    Tu n'as pas oublié d'autoriser les requêtes DNS, dans ton firewall ? Elles sont souvent utilisées lors des connexions, pour effectuer une résolution inverse.

    • [^] # Re: Et le DNS ?

      Posté par  (site web personnel) . Évalué à 1.

      Un serveur ssh parano n'autorise pas ( en principe ) les connections sans reverse dns correct.

      Tu n'aurais pas limité le nb de paquet par seconde sur les connections
      NEW, ESTABLISHED trop violemment ?

      Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: Et le DNS ?

      Posté par  (site web personnel) . Évalué à 0.

      Autre méthode pour éviter les timeout, place dans le fichier de conf du serveur SSH (normalement /etc/ssh/sshd_config) :

      UseDNS no

      Dans beaucoup de cas, c'est superflu, pour de l'accès depuis un réseau privé, et ça accélère beaucoup les choses.

      • [^] # Re: Et le DNS ?

        Posté par  . Évalué à 1.

        Bonjour,

        Merci pour vos réponses.
        Néammoins, je n'ai absolument pas limité les connexions.
        J'ai utilisé Netfilter avec la base, c'est a dire bloquer tout le traffic entrant, sauf le http pour tout le monde, le ssh pour certaines IP...

        Egalement le traffic local..

        Je n'ai pas configuré syn-flood...
        Est-ce qu'il se met par défaut ?

        Sinon, j'ai besoin du DNS, c'est un serveur Web.. NON ???

        Merci

  • # dns toujours et encore

    Posté par  . Évalué à 3.

    Tu devrais poster ici tes paramètres netfilter. Je suis quasi certain que tu as indiqué une adresse dns (monposte.mondomaine.com) au lieu d'une adresse numérique pour autoriser les connexions vers ton port ssh.
    Chaque paquet entrant et/ou sortant fait alors l'objet d'une résolution inverse. Et en plus de ça tu as peut-être un problème de dns.

    remplace monposte.mondomaine.com par 123.123.123.123

    J'ai bon ? :-)

    • [^] # Re: dns toujours et encore

      Posté par  . Évalué à 1.

      Non, j'ai tout mis par IP

      • [^] # Re: dns toujours et encore

        Posté par  . Évalué à 3.

        Donc j'ai faux :-)

        Mais je réitère: tu devrais poster ton paramétrage.

        • [^] # Re: dns toujours et encore

          Posté par  . Évalué à 1.

          Voila je poste mon script.
          J'ai du mettre des * dans les commentaire et pour les IP car ceci est confidentiel.

          #!/bin/bash

          #Parametrage netfilter pour ***********

          ##Autorisation du trafic local
          iptables -I INPUT -i lo -j ACCEPT

          ##Autorisation du ping
          iptables -A INPUT -p icmp -j ACCEPT

          ##Autorisation du ssh
          #***********
          iptables -A INPUT -s ************ -p tcp -i eth0 --dport ssh -j ACCEPT
          iptables -A INPUT -s ************ -p tcp -i eth0 --dport ssh -j ACCEPT
          #***********
          iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT
          iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT
          #***********
          iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT
          #***********
          iptables -A INPUT -s *********** -p tcp -i eth0 --dport ssh -j ACCEPT

          ##Autorisation du port 80
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT

          ##On bloque le trafic restant
          iptables -P INPUT DROP

          • [^] # Re: dns toujours et encore

            Posté par  (site web personnel) . Évalué à 1.

            hum , il manque des choses...
            si tu mets ça en prod ça craint !!!
            il manque le dns...
            Question sécurité c'est *light*, pas de suivi de connection...

            Problème de dns => lenteurs ( le dns c'est vital !!! )

            Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

            • [^] # Un point de départ

              Posté par  (site web personnel) . Évalué à 1.

              http://www.netfilter.org

              Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

              • [^] # Re: Un point de départ

                Posté par  . Évalué à 1.

                Pourrais tu me dire ce qu'il manque et qui te parait vital ??
                Merci pour tes réponses

                • [^] # LE DNS

                  Posté par  (site web personnel) . Évalué à 1.

                  grep -w 53 /etc/services

                  Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

                  • [^] # Re: LE DNS

                    Posté par  . Évalué à 0.

                    domain 53/tcp # name-domain server
                    domain 53/udp

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.