nicht angemeldet
Suse Linux: Masuqerading langsam??
Hi Forum
Ich habe mir vor ein paar Tagen Suse Linux 9.1 geholt (Personel Edition). Ich nutze diesen nun als Gateway/Router in meinem Netzwerk (restliche Rechner WinXP).
Funktioniert auch alles wunderbar. Jedoch kommt mir vor das alles ein bißchen langsam geht (zumindest für eine 2MBit Leitung), im Vergleich zu der vorherigen Lösung: WinXP Internetverbindungsfreigabe). Woran kann das liegen? bzw. Wie optimiere ich das?
Dank Euch
Michi
PS: Ist bei der Personel Edition eigentlich ein Samba Server integriert? Falls ja, Wo? ich hab ihn nicht gefunden und wenn ich ihn mir vom Suse-Ftp holen will, schreit er hat ca. 10 Konflikte!?!?! Hat da jemand einen Tip!?!
-
Hallo Michi,
Funktioniert auch alles wunderbar. Jedoch kommt mir vor das alles ein bißchen langsam geht (zumindest für eine 2MBit Leitung), im Vergleich zu der vorherigen Lösung: WinXP Internetverbindungsfreigabe). Woran kann das liegen? bzw. Wie optimiere ich das?
Hast Du denn irgendwelche Firewalls und so aktiviert? Wenn ja und diese Firewall _sehr_ viele Regeln beinhaltet, braucht das Überprüfen der Regeln für _jedes_ einzelne Paket seine Zeit. Ich habe hier einen Router laufen (allerdings Debian, nicht SuSE) mit ganz wenigen Regeln (alle selbst definiert - was ich allerdings einem Anfänger nicht empfehlen würde) und die Geschwindigkeit ist eigentlich nicht von der Geschwindigkeit eines direkt angeschlossenen Rechners zu unterscheiden.
Kann es außerdem vielleicht sein, dass Du einfach zu unterschiedlichen Tageszeiten probiert hast? Manchmal ist das Netz bzw. sind die Server einfach mehr belastet und liefern einen geringeren Durchsatz.
Viele Grüße,
Christian-
Hallo
Hast Du denn irgendwelche Firewalls und so aktiviert? Ja, die ist bei Suse integriert bzw. in diesem Menüpunkt aktiviere ich erst überhaupt das masquerading
»»Wenn ja und diese Firewall _sehr_ viele Regeln beinhaltet, braucht das Überprüfen der Regeln für _jedes_ einzelne Paket seine Zeit. Ich habe hier einen Router laufen (allerdings Debian, nicht SuSE) mit ganz wenigen Regeln (alle selbst definiert - was ich allerdings einem Anfänger nicht empfehlen würde) und die Geschwindigkeit ist eigentlich nicht von der Geschwindigkeit eines direkt angeschlossenen Rechners zu unterscheiden.
Zu Debian: Ich bin gerade beim testen welches Linux ich verwenden soll. Suse ist deswegen zum Zug gekommen, weil ich es noch aus meiner Schulzeit kenne. Mir ist einfach wichtig das ich eine graphische Oberfläche habe und es sehr einfach zu bedienen ist. Kommt da Debian für mich in Frage?
Kann es außerdem vielleicht sein, dass Du einfach zu unterschiedlichen Tageszeiten probiert hast? Manchmal ist das Netz bzw. sind die Server einfach mehr belastet und liefern einen geringeren Durchsatz.
Das schon aber es geht im Vergleich zu vorher (WinXP) sehr viel langsamer.
LG Michi
-
Hallo Michi,
Zu Debian: Ich bin gerade beim testen welches Linux ich verwenden soll. Suse ist deswegen zum Zug gekommen, weil ich es noch aus meiner Schulzeit kenne. Mir ist einfach wichtig das ich eine graphische Oberfläche habe und es sehr einfach zu bedienen ist. Kommt da Debian für mich in Frage?
Nicht wirklich..
Das schon aber es geht im Vergleich zu vorher (WinXP) sehr viel langsamer.
Wie viel? Nenn mal konkrete Zahlen. Und schau mal - wie gesagt - wegen der Firewall nach. Oder geh mal einfach in einer Konsole als root und tippe folgenden Befehl ein:
iptables -L
Wenn da 25-75 Zeilen Ausgabe kommen, würde ich das noch als Normal ansehen. Wird's deutlich mehr, dann sind das schonmal sehr viele Regeln und diese könnten die Ursache sein. Allerdings kenne ich die aktuellen SuSE-Versionen überhaupt nicht, um Dir zu sagen, wie Du die Anzahl an Firewall-Regeln herabsetzen kannst, ohne die Firewall komplett zu deaktivieren.
Viele Grüße,
Christian-
Hallo nochmal
Nicht wirklich..
Schade drum...
Wie viel? Nenn mal konkrete Zahlen.
Ich habe einen zweiten Server an einem anderen Standort unter Windows kamm ich auf eine durchschn. Durchsatz von 300 kb/s nun ist es die Hälfte.
Und schau mal - wie gesagt - wegen der Firewall nach. Oder geh mal einfach in einer Konsole als root und tippe folgenden Befehl ein:
iptables -L
Wenn da 25-75 Zeilen Ausgabe kommen, würde ich das noch als Normal ansehen. Wird's deutlich mehr, dann sind das schonmal sehr viele Regeln und diese könnten die Ursache sein. Allerdings kenne ich die aktuellen SuSE-Versionen überhaupt nicht, um Dir zu sagen, wie Du die Anzahl an Firewall-Regeln herabsetzen kannst, ohne die Firewall komplett zu deaktivieren.
Naja sind so ca. 50 Zeilen...also laut deiner Aussage normal.
Michi
-
Hallo Michi,
Ich habe einen zweiten Server an einem anderen Standort unter Windows kamm ich auf eine durchschn. Durchsatz von 300 kb/s nun ist es die Hälfte.
Das ist wirklich arg wenig.
[Firewall-Regeln]
Naja sind so ca. 50 Zeilen...also laut deiner Aussage normal.Ja, dann ist es unwarscheinlich, dass die Firewall wirklich das verursacht. Wenn Du es dennoch mal ausprobieren willst, kannst Du die Firewall mal testhalber komplett deaktivieren (Achtung: ich weiß nicht, wie Du sie unter SuSE wieder aktivieren kannst, deswegen würde ich danach den Rechner neu starten):
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARDDas Masquerading _sollte_ danach aktiv bleiben. Wenn es danach mit höherer Geschwindigkeit geht, würde ich mich vielleicht mal an den SuSE-Support wenden und fragen, was man da machen kann.
Viele Grüße,
Christian-
Hallo
Das ist wirklich arg wenig.
Mir kommt vor es wird im ärger Hier ein auszug aus einem Ping, ich wette wenn du das selbe tust geht es bei weitem schneller obwohl die Seite aus Österreich ist (wie ich).
Ping www.orf.at [194.232.104.21] mit 32 Bytes Daten:
Antwort von 194.232.104.21: Bytes=32 Zeit=1581ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=2040ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=1372ms TTL=57
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 194.232.104.21: Bytes=32 Zeit=3497ms TTL=57
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 194.232.104.21: Bytes=32 Zeit=464ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=213ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=1962ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=749ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=497ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=1778ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=467ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=212ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=1963ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=746ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=275ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=383ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=381ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=276ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=140ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=1767ms TTL=57
Zeitüberschreitung der Anforderung.
Antwort von 194.232.104.21: Bytes=32 Zeit=132ms TTL=57
Zeitüberschreitung der Anforderung.
Antwort von 194.232.104.21: Bytes=32 Zeit=3957ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=2672ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=2326ms TTL=57
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 194.232.104.21: Bytes=32 Zeit=232ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=1294ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=2162ms TTL=57
Zeitüberschreitung der Anforderung.und so geht es weiter...
[Firewall-Regeln]
Naja sind so ca. 50 Zeilen...also laut deiner Aussage normal.Du sie unter SuSE wieder aktivieren kannst, deswegen würde ich danach den Rechner neu starten):
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARDHab ich probiert hilft nix.
Naja wenn ich nicht bald eine Lösung im Netz finde, hat WinXP gewonnen (nachdem ich das mit Samba auch nicht hinkrieg)
LG Michi
-
hallo Michi,
Ping www.orf.at [194.232.104.21] mit 32 Bytes Daten:
Antwort von 194.232.104.21: Bytes=32 Zeit=1581ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=2040ms TTL=57
Antwort von 194.232.104.21: Bytes=32 Zeit=1372ms TTL=57Das ist ein Ping von einem Client aus, oder von deinem SuSE-Router?
Im übrigen halte ich die SuSE als Router/Gateway nicht für geeignet. Wenn du ein Linux dafür nehmen möchtest, dann GenToo, sonst würde ich FreeBSD empfehlen. Die SuSE macht es mit ihrer Kopplung an die SuSE-eigene und schwer konfigurierbare Firewwall viel zu kompliziert.
Noch zu deiner vorhergehenden Frage: Samba ist bei SuSE nicht "integriert", aber selbstverständlich ist ein Samba-Server auf den CDs vorhanden. Du mußt darauf achten, daß er in den "Diensten" eingestellt wird - also beide Dämonen, sowohl nmbd wie auch smbd. Das wird nicht automatisch eingestellt.
[Firewall-Regeln]
Naja sind so ca. 50 Zeilen...also laut deiner Aussage normal.Es dürfen gerne deutlich mehr Zeilen sein. Du darfst nur nicht den Fehler machen, das mit YaST konfigurieren zu wollen, die dort möglichen Einstellungen genügen nicht.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hallo
Das ist ein Ping von einem Client aus, oder von deinem SuSE-Router?
von einem Client aus.
Im übrigen halte ich die SuSE als Router/Gateway nicht für geeignet. Wenn du ein Linux dafür nehmen möchtest, dann GenToo, sonst würde ich FreeBSD empfehlen. Die SuSE macht es mit ihrer Kopplung an die SuSE-eigene und schwer konfigurierbare Firewwall viel zu kompliziert.
Wie schon vorher gepostet...ich möchte eine alternative zu WinXP...jedoch hilft es mir nicht ein Linux zu verwenden welches schwer zu bedienen ist (keine grafische Oberfläche usw.) Denn um mich überall einzulesen und vorallem zu verstehen kostet zu viel Zeit..die ich nicht habe.
Noch zu deiner vorhergehenden Frage: Samba ist bei SuSE nicht "integriert", aber selbstverständlich ist ein Samba-Server auf den CDs vorhanden. Du mußt darauf achten, daß er in den "Diensten" eingestellt wird - also beide Dämonen, sowohl nmbd wie auch smbd. Das wird nicht automatisch eingestellt.
Es dürfen gerne deutlich mehr Zeilen sein. Du darfst nur nicht den Fehler machen, das mit YaST konfigurieren zu wollen, die dort möglichen Einstellungen genügen nicht.
Wie dann? Die Konsole fällt flach (siehe oben)
LG Michael
-
hallo Michi,
jedoch hilft es mir nicht ein Linux zu verwenden welches schwer zu bedienen ist (keine grafische Oberfläche usw.)
Du kannst auf _jeder_ Linux-Distribution (sofern deine Hardware das zuläßt) grafische Oberflächen einrichten. Du mußt lediglich dafür sorgen, daß der X-Server genügend Speicher vorfindet.
Noch zu deiner vorhergehenden Frage: Samba ist bei SuSE nicht "integriert", aber selbstverständlich ist ein Samba-Server auf den CDs vorhanden. Du mußt darauf achten, daß er in den "Diensten" eingestellt wird - also beide Dämonen, sowohl nmbd wie auch smbd.
Es dürfen gerne deutlich mehr Zeilen sein. Du darfst nur nicht den Fehler machen, das mit YaST konfigurieren zu wollen, die dort möglichen Einstellungen genügen nicht.
Wie dann? Die Konsole fällt flach (siehe oben)Deine grafische Oberfläche (es gibt neben KDE und GNOME auch noch andere) sollte dir mindestens ein Dutzend brauchbarer Editoren zur Verfügung stellen, die du beliebig ausprobieren darfst. Du entscheidest, welchen du nehmen möchtest. Allerdings schreibst du in einem solchen Editor auch nichts anderes als du in einem Konsoleneditor schreiben würdest.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
-
-
-
-
-
-
-
-
Hi!
Ich habe mir vor ein paar Tagen Suse Linux 9.1 geholt (Personel Edition). Ich nutze diesen nun als Gateway/Router in meinem Netzwerk (restliche Rechner WinXP).
Funktioniert auch alles wunderbar. Jedoch kommt mir vor das alles ein bißchen langsam geht (zumindest für eine 2MBit Leitung), im Vergleich zu der vorherigen Lösung: WinXP Internetverbindungsfreigabe). Woran kann das liegen? bzw. Wie optimiere ich das?Nachdem die anderen Hinweise von Christian und Christoph nicht geholfen haben, probiere mal folgendes:
1.) Deaktiviere die SuSE Firewall mittels YAST
2.) iptables -F (löschen aller FORWARD/ACCEPT/DROP etc. Regeln)
3.) Die Ausgabe von iptbales -L solte nun so ausschauen:Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination4.) Packe folgende Skriptzeilen z.B in eine Datei namens router ins Homeverzeichnis von root (ppp0 ist dabei dein WAN-Device):
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Regeln gesetzt!"4.) Dieses Bashscipt erstellt alle notwenigen iptables-Regeln, die für einen __minimal__ Router nötig sind. Dieses führst du nun aus:
erde root # ./router
Regeln gesetzt
erde root #Funktioniert das ganze nun besser, d.h. schneller?
Grüße,
Fabian St.--
Endlich online: http://fabis-site.net
--> XHTML, CSS, PHP-Formmailer, Linux
Selfcode: ie:% fl:| br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)-
Hallo Fabian
1.) Deaktiviere die SuSE Firewall mittels YAST
2.) iptables -F (löschen aller FORWARD/ACCEPT/DROP etc. Regeln)
3.) Die Ausgabe von iptbales -L solte nun so ausschauen:4.) Packe folgende Skriptzeilen z.B in eine Datei namens router ins Homeverzeichnis von root (ppp0 ist dabei dein WAN-Device):
4.) Dieses Bashscipt erstellt alle notwenigen iptables-Regeln, die für einen __minimal__ Router nötig sind. Dieses führst du nun aus:
Funktioniert das ganze nun besser, d.h. schneller?
Ich werds gleich mal probieren...
Könnte es auch daran liegen, dass ich hinter einem xDSL Router (stat. IP's) hänge und dies dadurch Probleme verursacht. Ich hab in einem anderen Forum irgendwas von Packetgröße und MTU (keine Ahnung was das ist) gelesen??!!?LG Michi
-
Hi Michi!
Ich werds gleich mal probieren...
Könnte es auch daran liegen, dass ich hinter einem xDSL Router (stat. IP's) hänge und dies dadurch Probleme verursacht. Ich hab in einem anderen Forum irgendwas von Packetgröße und MTU (keine Ahnung was das ist) gelesen??!!?Ja, u.U. könnte es damit zusammenhängen. Aber dies würde durch das obige Skript bereits korrigiert werden:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Für ergänzende Infos zum MTU-Wert siehe auch http://de.wikipedia.org/wiki/Maximum_Transfer_Unit
Grüße,
Fabian St.--
Endlich online: http://fabis-site.net
--> XHTML, CSS, PHP-Formmailer, Linux
Selfcode: ie:% fl:| br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)-
Hallo
hab das jetzt probiert:
1.) Deaktiviere die SuSE Firewall mittels YAST
OK
2.) iptables -F (löschen aller FORWARD/ACCEPT/DROP etc. Regeln)
OK
3.) Die Ausgabe von iptbales -L solte nun so ausschauen:
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationStimmt vollkommen
4.) Packe folgende Skriptzeilen z.B in eine Datei namens router ins Homeverzeichnis von root (ppp0 ist dabei dein WAN-Device):
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Regeln gesetzt!"Auch erledigt
4.) Dieses Bashscipt erstellt alle notwenigen iptables-Regeln, die für einen __minimal__ Router nötig sind. Dieses führst du nun aus:
erde root # ./router
Regeln gesetzt
erde root #"command erde not found" oder versteh ich da was falsch?
Aber egal ich hab die Befehle welche ich ins Script schreiben sollte händisch eingegeben. iptables -L hat sich dem entsprechend geändert. Nur leider funktioniert nun gar nix mehr :-( (ich meine ich komm mit den WinXP Clients nicht mehr ins Netz)Michi
-
Hi!
4.) Dieses Bashscipt erstellt alle notwenigen iptables-Regeln, die für einen __minimal__ Router nötig sind. Dieses führst du nun aus:
erde root # ./router
Regeln gesetzt
erde root #"command erde not found" oder versteh ich da was falsch?
Aber egal ich hab die Befehle welche ich ins Script schreiben sollte händisch eingegeben. iptables -L hat sich dem entsprechend geändert. Nur leider funktioniert nun gar nix mehr :-( (ich meine ich komm mit den WinXP Clients nicht mehr ins Netz)"erde" ist der hostname meines Linux-Rechners und root das aktuelle Verzeichnis, in dem ich mich befinde, d.h. beide zusammen stellen einfach den Konsolen-Prompt dar. Wenn du obiges Bashscript nun in eine Datei gepackt hast und diese mit
chmod u+x router
für root ausführbar gemacht hast, solltest du nun in dem Verzeichnis, in dem die Datei liegt nach dem Konsolen-Prompt folgendes eingeben (in der Annahme das dein Bashscript den Dateinamen router hat:
./router
Daraufhin sollte die Meldung "Regeln gesetzt!" erscheinen. Ist dies geschehen, musst du dich nun an die Konfiguration deiner WinXP-Clients machen. Dies geschieht unter der Systemsteuerung --> Netzwerk --> dein_internes_network_device. Unter den TCP/IP-Einstellungen dieses Interfaces musst du nun den Gateway (IP deines Linux-Rechners) sowie die Nameserver (zum Auflösen der Domains in die jeweiligen IPs) eintragen. Für T-Online ist dies z.B. 194.25.2.129. Eventl. solltest du das gleiche auch unter Linux machen. Hierzu ist die Datei /etc/resolv.conf zu bearbeiten. Trage hierzu folgende Zeile ein:
nameserver 194.25.2.129
Wenn du nun in der XP-Eingabeaufforderung (unter Zubehör zu finden) den Befehl
tracert selfhtml.org
eingibst, sollte nun als erste Station die IP deines Routers auftauchen.
Grüße,
Fabian St.--
Endlich online: http://fabis-site.net
--> XHTML, CSS, PHP-Formmailer, Linux
Selfcode: ie:% fl:| br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)-
Hallo»» Hi!
für root ausführbar gemacht hast, solltest du nun in dem Verzeichnis, in dem die Datei liegt nach dem Konsolen-Prompt folgendes eingeben (in der Annahme das dein Bashscript den Dateinamen router hat:
./router
Wow! Herzlichen Dank. Nun läufts schneller als unter Windows!!! Bin echt schwerst beeindruckt!
Daraufhin sollte die Meldung "Regeln gesetzt!" erscheinen. Ist dies geschehen, musst du dich nun an die Konfiguration deiner WinXP-Clients machen. Dies geschieht unter der Systemsteuerung --> Netzwerk --> dein_internes_network_device. Unter den TCP/IP-Einstellungen dieses Interfaces musst du nun den Gateway (IP deines Linux-Rechners) sowie die Nameserver (zum Auflösen der Domains in die jeweiligen IPs) eintragen.
Hey. Ich bin Linux Anfänger-kein Vollidiot!!! :-)
Danke nochmals! Vorallem auch für den Link zu deiner HP (für die konfiguration von Samba)
Michi
-
Hi!
Wow! Herzlichen Dank. Nun läufts schneller als unter Windows!!! Bin echt schwerst beeindruckt!
Bitte schön :-)
Hey. Ich bin Linux Anfänger-kein Vollidiot!!! :-)
So war das ganze auch nicht gemeint ;-) Es ist bloß immer schwierig den Background der Leute abzuschätzen :-)
Danke nochmals! Vorallem auch für den Link zu deiner HP (für die konfiguration von Samba)
Da du eh SuSE verwendest, würde ich eher von einer manuellen Kompilierung (wie auf meiner Website beschrieben) absehen und die SuSE eignen Boardmittel nutzen, d.h. Installation von samba mittels YAST. Die smb.conf, die du dann bei SuSE nach der Installation standardmäßig unter /etc/samba findest, solltest du jedoch manuell anpassen und die Einstellungen nicht mittels YAST durchführen!
Grüße,
Fabian St.--
Endlich online: http://fabis-site.net
--> XHTML, CSS, PHP-Formmailer, Linux
Selfcode: ie:% fl:| br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)
-
-
-
-
-
-
Hallo Fabian,
Chain INPUT (policy ACCEPT)
[...]
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPTWozu brauchst Du eigentlich diese Zeile? Sie schadet zwar nicht, ist aber eigentlich unnötig, da die Policy von INPUT sowieso ACCEPT ist. Und ich kann mir vorstellen, dass das Überprüfen der State Zeit kostet, d.h. durch weglassen dieser Zeile sollte sich das ganze nochmal leicht beschleunigen lassen.
Viele Grüße,
Christian-
Hi Christian!
Chain INPUT (policy ACCEPT)
[...]
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPTWozu brauchst Du eigentlich diese Zeile? Sie schadet zwar nicht, ist aber eigentlich unnötig, da die Policy von INPUT sowieso ACCEPT ist. Und ich kann mir vorstellen, dass das Überprüfen der State Zeit kostet, d.h. durch weglassen dieser Zeile sollte sich das ganze nochmal leicht beschleunigen lassen.
Ich beschäftige mich zur Zeit etwas näher mit den ganzen iptables-Regeln und Paketfiltern. Dabei bin ich auf einer Seite auf obige Regel gestoßen, die - soweit ich das beurteilen kann - nur diejenigen Pakete durchlässt, die explizit vom Client angefordert wurden. Ich lasse mich jedoch gerne belehren - denn, wie gesagt, ein Experte bin ich im Gebiet der iptables (noch) nicht ;-)
Grüße,
Fabian St.--
Endlich online: http://fabis-site.net
--> XHTML, CSS, PHP-Formmailer, Linux
Selfcode: ie:% fl:| br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)-
Hallo Fabian,
Ich beschäftige mich zur Zeit etwas näher mit den ganzen iptables-Regeln und Paketfiltern. Dabei bin ich auf einer Seite auf obige Regel gestoßen, die - soweit ich das beurteilen kann - nur diejenigen Pakete durchlässt, die explizit vom Client angefordert wurden.
Jain. Sie akzeptiert alle Pakete, die über das Interface ppp0 reinkommen (d.h. "von außen"), die den "Status" ESTABLISHED oder RELATED haben. Dies bedeutet, dass alle TCP-Pakete akzeptiert werden, die zu einer bestehenden Verbindung dazugehören, sowie UPD und ICMP-Antworten. UDP-Pakete, die einfach so drauflosgesendet werden und TCP-Verindungsaufbaupakete werden dagegen *nicht* von der Regel durchgelassen. Wenn eine Regel allerdings nicht zutrifft, wird die nächste Regel der Chain genommen. Und nachdem es für INPUT keine weitere Regel gibt, wird die Policy von INPUT genommen (bei Subchains wird zur übergeordneten Chain zurückgekehrt). Die Policy von INPUT ist in Deinem Beispiel ACCEPT.
Du hast also folgende Situation:
Chain INPUT wird abgearbeitet
- kommt das Paket über ppp0 rein und gehört es zu einer bestehenden TCP-Verbindung (ESTABLISHED) oder ist es eine UDP- oder ICMP-Antwort (RELATED)? Ja => durchlassen (ACCEPT) Nein => nächste Regel
- keine weitere Regel => Policy: durchlassen (ACCEPT)Das heißt konkret: Du lässt alle Pakete sowieso zu. Wenn, dann würde ich *dahinter* noch eine Regel postieren, die alle über ppp0 einkommenden Pakete zurückweist (REJECT).
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -j REJECTDie erste Regel (die von Dir) würde dann dafür sorgen, dass die von Dir gewünschten Pakete durchgelassen werden (und wenn sie durchgelassen werden, werden *keine* weiteren Regeln angewendet!), die zweite würde auf alle anderen zutreffen, die über ppp0 reinkommen und diese würden zurückgewiesen. Allerdings wären in so einer Konstellation nur noch ausgehende Verbindungen möglich.
Ganz wichtig: die Policy von INPUT sollte man nur dann auf REJECT oder DROP setzen, wenn man noch andere Regeln zum Zulassen von weiteren Paketen hat. Denn auch ein Paket, das aus dem lokalen Netz ins Internet will, durchläuft die INPUT-Chain (da kommt es dann von eth0). Wenn man die Policy von INPUT generell auf REJECT setzt, sperrt man sich komplett aus.
Aber ich würde davon abraten, derartige Regeln alleine zu setzen. Wenn, dann sollte man sich gleich richtig in iptables einlesen und nicht nur teilweise irgendwo irgendwelche Firewall-Regeln einbauen. Mit so etwas lädt man irgendwelche neugierigen Leute überhaupt erst ein, wenn ein System weder so reagiert, wie wenn eine richtige Firewall aktiviert ist, noch so, wie wenn gar keine aktiviert ist (was nicht zwangsläufig heißt, dass das deswegen unsicher sein muss).
Viele Grüße,
Christian-
Hi Christian!
[erklärung]
Aber ich würde davon abraten, derartige Regeln alleine zu setzen. Wenn, dann sollte man sich gleich richtig in iptables einlesen und nicht nur teilweise irgendwo irgendwelche Firewall-Regeln einbauen. Mit so etwas lädt man irgendwelche neugierigen Leute überhaupt erst ein, wenn ein System weder so reagiert, wie wenn eine richtige Firewall aktiviert ist, noch so, wie wenn gar keine aktiviert ist (was nicht zwangsläufig heißt, dass das deswegen unsicher sein muss).Vielen Dank für deine ausführlichen Erläuterungen - wieder mal ein Beispiel dafür, dass solche iptables-Geschichten doch ziemlich komplex werden können. Wie gesagt, ich habe erst vor kurzem begonnen, mich damit auseinander zu setzen, sodass meine Kompetenz auf diesem Gebiet wohl noch nicht ganz ausreicht :-)
Kennst du vielleicht ein gutes Howto, das du hierzu empfehlen könntest? Es sollte jedoch nicht nur beschreiben, wie man z.B. eine _bestimmte_ Firewall aufbaut, sondern auch was hinter den einzelnen Policies, etc steckt. Die Dokumentation von Netfilter (http://www.netfilter.org/documentation/) kenne ich bereits, aber vielleicht gibt es noch weitere gute, die ich trotz meiner Recherchen nicht gefunden habe ;-)
Grüße,
Fabian St.--
Endlich online: http://fabis-site.net
--> XHTML, CSS, PHP-Formmailer, Linux
Selfcode: ie:% fl:| br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)-
Hallo Fabian,
Kennst du vielleicht ein gutes Howto, das du hierzu empfehlen könntest?
ipchains war ja der Vorgänger von iptables und iptables hat sehr viel von ipchains übernommen. Für ipchains gibt es ein IMHO recht gutes HOWTO unter < http://www.ibiblio.org/pub/Linux/docs/HOWTO/IPCHAINS-HOWTO>, das einiges erklärt. Allerdings musst Du aufpassen, die Optionen von iptables sind teilweise anders, als die von ipchains und bspw. heißt das Target für das Verwerfen von Paketen bei iptables DROP, bei ipchains DENY.
Viele Grüße,
Christian-
Hi Christian!
ipchains war ja der Vorgänger von iptables und iptables hat sehr viel von ipchains übernommen. Für ipchains gibt es ein IMHO recht gutes HOWTO unter http://www.ibiblio.org/pub/Linux/docs/HOWTO/IPCHAINS-HOWTO, das einiges erklärt. Allerdings musst Du aufpassen, die Optionen von iptables sind teilweise anders, als die von ipchains und bspw. heißt das Target für das Verwerfen von Paketen bei iptables DROP, bei ipchains DENY.
Das sieht doch gleich viel ausführlicher aus als wie man es oft findet. Werde ich mit mal genauer anschauen :-)
Grüße,
Fabian St.--
Endlich online: http://fabis-site.net
--> XHTML, CSS, PHP-Formmailer, Linux
Selfcode: ie:% fl:| br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)
-
-
-
-
-
-