添加iptables防火墙后.网站访问变慢,求助.
我有一台centos 4.4服务器,启动了tomcat后,有80.443两个端口,提供管理服务.为安全期间,我配置了iptables防火墙.第一次用iptables防火墙,
只充许我指定的两个/段IP访问我的服务器的22.80.443三个端口,其它服务都是开启的.
配置的内容如下:
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
不添加防火墙的时候,访问就很正常,加过防火墙后,防问速度就变的很慢..
初次配置,请哪位朋友帮我指证一下问题在哪里..谢谢!!
[ 本帖最后由 zbhdpx 于 2008-5-9 08:52 编辑 ] 检查ping
检查ifconfig的errror和drop
检查vmstat -n 1 iptables -A INPUT -s 125.93.184.74 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
#iptables -A INPUT -s 125.93.184.74 -p tcp --dport 443 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
#iptables -A INPUT -p tcp --dport 443 -j DROP
我把规则改成上边这样,80端口的访问就很快.如果把关于443端口的规则打开,打开网页就很慢了.. iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
这两条都没有意义.
另外,你是通过域名还是IP访问你的站点? 是通过ip地址直接访问的..
我只是想实现这台机器上指定的三个端口的访问控制,(指定源IP地址)
其它的端口都充许访问,,
怎么样写规则? iptables -A INPUT -s 125.93.184.74 -d 目标地址-p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 125.93.188.240/28 -d 目标地址 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -d 目标地址 --dport 22 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -d 目标地址 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -d 目标地址 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -d 目标地址 --dport 443 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -d 目标地址 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -d 目标地址 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -d 目标地址 --dport 80 -j DROP
最好像这样把目标地址加上 目标地址就是你网卡的IP. 谢谢,我试试看,过会儿返回结果!
回复 #8 zbhdpx 的帖子
谢谢,现在可以了,还是不太明白...
我上边写的规则应该默认匹配anywhere.为什么在规则里还要加上自己的IP地址呢?
请讲一下好吗? 很明顯您忽略本機不設防的存取限制,您的 website 有自己連線存取自己的情況,您這樣設定當然會出問題。
建議你看一下網絡版置頂文章,參考 iptables faq 的文章會有幫助。
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -s 125.93.188.240/28 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 125.93.184.74 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
再次建議,那篇 faq 請務必閱讀。
--
页:
[1]
2