论坛 › 服务器应用 › 添加iptables防火墙后.网站访问变慢,求助.

zbhdpx 发表于 2008-05-09 08:51

添加iptables防火墙后.网站访问变慢,求助.

我有一台centos 4.4服务器,启动了tomcat后,有80.443两个端口,提供管理服务.为安全期间,
我配置了iptables防火墙.第一次用iptables防火墙,
只充许我指定的两个/段IP访问我的服务器的22.80.443三个端口,其它服务都是开启的.
配置的内容如下:
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

不添加防火墙的时候,访问就很正常,加过防火墙后,防问速度就变的很慢..
初次配置,请哪位朋友帮我指证一下问题在哪里..谢谢!!

[ 本帖最后由 zbhdpx 于 2008-5-9 08:52 编辑 ]

rhci 发表于 2008-05-09 09:14

检查ping
检查ifconfig的errror和drop
检查vmstat -n 1

zbhdpx 发表于 2008-05-09 09:53

iptables -A INPUT -s 125.93.184.74 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
#iptables -A INPUT -s 125.93.184.74 -p tcp --dport 443 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
#iptables -A INPUT -p tcp --dport 443 -j DROP

我把规则改成上边这样,80端口的访问就很快.如果把关于443端口的规则打开,打开网页就很慢了..

rhci 发表于 2008-05-10 12:34

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

这两条都没有意义.

另外,你是通过域名还是IP访问你的站点?

zbhdpx 发表于 2008-05-10 12:36

是通过ip地址直接访问的..
我只是想实现这台机器上指定的三个端口的访问控制,(指定源IP地址)
其它的端口都充许访问,,
怎么样写规则?

rhci 发表于 2008-05-10 12:51

iptables -A INPUT -s 125.93.184.74 -d 目标地址-p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 125.93.188.240/28 -d 目标地址 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -d 目标地址 --dport 22 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -d 目标地址 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -d 目标地址 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -d 目标地址 --dport 443 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -d 目标地址 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -d 目标地址 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -d 目标地址 --dport 80 -j DROP

最好像这样把目标地址加上

rhci 发表于 2008-05-10 12:52

目标地址就是你网卡的IP.

zbhdpx 发表于 2008-05-10 13:36

谢谢,我试试看,过会儿返回结果!

zbhdpx 发表于 2008-05-10 13:46

回复 #8 zbhdpx 的帖子

谢谢,现在可以了,
还是不太明白...
我上边写的规则应该默认匹配anywhere.为什么在规则里还要加上自己的IP地址呢?
请讲一下好吗?

kenduest 发表于 2008-05-10 14:07

很明顯您忽略本機不設防的存取限制，您的 website 有自己連線存取自己的情況，您這樣設定當然會出問題。

建議你看一下網絡版置頂文章，參考 iptables faq 的文章會有幫助。


iptables -F

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -s 125.93.184.74 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP

iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP


再次建議，那篇 faq 請務必閱讀。

--

查看完整版本: 添加iptables防火墙后.网站访问变慢,求助.