3 votes

El cero avatar

Les règles Iptables ralentissent la connexion via SSH

Demandé el 19 de Mai, 2016
Quand la question a-t-elle été
2267 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de construire quelques règles iptables de base pour mon SDV :

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP

Je veux bloquer tout trafic entrant à l'exception du trafic SSH et WEB. Mais après avoir appliqué les règles et redémarré le système, il faut 30 secondes pour se connecter via SSH, le processus de connexion est très lent, mais il fonctionne parfaitement une fois que je me suis connecté.

Quelles règles dois-je ajouter pour accélérer la connexion via SSH ?

Demandé el 19 de Mai, 2016 par El cero

Réponses

Trop de publicités?

2voto

Frank Schrijver avatar
Frank Schrijver Points 511

De iptables --help :

--numeric   -n      numeric output of addresses and ports

https://serverfault.com/questions/85602/iptables-l-pretty-slow-is-this-normal

Inclure le -n afin qu'il n'essaie pas d'utiliser le DNS pour résoudre les noms de chaque adresse IP, réseau et port. Il sera alors rapide.

https://help.ubuntu.com/community/IptablesHowTo

Autoriser les sessions établies

Nous pouvons autoriser les sessions établies à recevoir du trafic :

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Si la ligne ci-dessus ne fonctionne pas, il se peut que vous soyez sur un VPS castré dont le fournisseur n'a pas mis à disposition l'extension, auquel cas une version inférieure peut être utilisée en dernier recours :

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

édité parce que help.ubuntu.com offre une solution meilleure et plus complète ignorer ci-dessous

https://serverfault.com/questions/416537/why-does-a-valid-set-of-iptables-rules-slow-my-server-to-a-crawl

Règle d'acceptation du trafic basée sur le trafic existant

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Répondu el 19 de Mai, 2016 par Frank Schrijver (511 Points )

0voto

Brian avatar
Brian Points 101

J'ai résolu le même problème en exécutant les deux commandes suivantes

# Allow Established and Related Incoming Connections
iptables -I INPUT 1 -m conntrack --ctstate ESTABLISH
ED,RELATED -j ACCEPT

# Allow Established Outgoing Connections
iptables -I OUTPUT 1 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Ces deux commandes proviennent de Iptables Essentials : Règles et commandes communes de pare-feu .

Répondu el 16 de Juin, 2021 par Brian (101 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X