O site se torna lento e não responde após a configuração do iptables com as portas apropriadas abertas?

Navegue suas respostas
2

Aqui está a saída de um "iptables-save": 

# Generated by iptables-save v1.4.4 on Sun Nov 21 11:28:56 2010
*mangle
:PREROUTING ACCEPT [921:116690]
:INPUT ACCEPT [921:116690]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [856:343403]
:POSTROUTING ACCEPT [856:343403]
COMMIT
# Completed on Sun Nov 21 11:28:56 2010
# Generated by iptables-save v1.4.4 on Sun Nov 21 11:28:56 2010
*nat
:PREROUTING ACCEPT [18:1076]
:POSTROUTING ACCEPT [189:12510]
:OUTPUT ACCEPT [189:12510]
COMMIT
# Completed on Sun Nov 21 11:28:56 2010
# Generated by iptables-save v1.4.4 on Sun Nov 21 11:28:56 2010
*filter
:INPUT DROP [188:58400]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [856:343403]
-A INPUT -p icmp -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p udp -m udp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p udp -m udp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p udp -m udp --dport 443 -j ACCEPT 
COMMIT
# Completed on Sun Nov 21 11:2

O servidor hospeda meu servidor de ligação que está servindo como o servidor de nomes autoritativo para o domínio específico em questão. O servidor também hospeda o site em si. O que poderia causar essa lentidão ao ativar as regras do iptables com essas portas abertas? Estou sentindo falta de algumas portas que devem permitir que o dns funcione corretamente?

    
por BuckFilledPlatypus 21.11.2010 / 17:34

2 respostas

2

O seu servidor está tentando reverter endereços IP para hostnames? Quando a ligação precisa recursar ou encaminhar solicitações, por padrão (como na ligação 8.1), ela escolhe portas aleatórias para fazer suas solicitações. Como os pacotes UDP são retornados para a porta que os enviou, eles são bloqueados por esse firewall.

Você pode descomentar 

query-source address * port 53;

no arquivo named.conf.options (no Debian, de qualquer forma) para forçá-lo a usar a porta 53. Portas aleatórias são escolhidas para ajudar a prevenir ataques de envenenamento de cache (onde alguém retorna um pacote de resposta falso para você antes do chega um pacote real), por isso é uma boa ideia corrigir o firewall em vez de alterar a ligação.

Se o servidor de ligação (e /etc/resolv.conf para todos os outros aplicativos) estiver configurado para usar encaminhadores específicos, você poderá criar uma regra (se houver mais de um) como 

iptables -A INPUT -p udp -s OTHERDNSSERVER --sport 53 -j ACCEPT

Isso permitirá que os pacotes vindos do seu servidor DNS externo (porta 53). Se o seu ISP / host não forneceu a você servidores DNS para usar e vincular está usando a recursão para procurar tudo, então as respostas podem estar vindo de qualquer lugar. Nesse caso, você usaria conntrack: 

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

Isso permite respostas a conexões de saída. Se você tiver muitas consultas DNS, talvez seja necessário aumentar o tamanho da tabela conntrack ou diminuir seu tempo limite.

    
por 21.11.2010 / 19:03
3

Adicione uma regra de registro para ver o que está sendo descartado:
iptables -A INPUT -j LOG

A lentidão é possivelmente causada por tempos limite para uma porta que você esqueceu.

    
por 21.11.2010 / 17:59

Tags

Existe algum motivo para um domínio não conseguir resolver outro, sendo o servidor DNS o problema? Não é possível adicionar usuários de domínio a grupos locais em um servidor