/
Forside
/
Teknologi
/
Operativsystemer
/
Linux
/
Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn
*
Kodeord
*
Husk mig
Brugerservice
Kom godt i gang
Bliv medlem
Seneste indlæg
Find en bruger
Stil et spørgsmål
Skriv et tip
Fortæl en ven
Pointsystemet
Kontakt Kandu.dk
Emnevisning
Kategorier
Alfabetisk
Karriere
Interesser
Teknologi
Reklame
Top 10 brugere
Linux
#
Navn
Point
1
o.v.n.
11177
2
peque
7911
3
dk
4814
4
e.c
2359
5
Uranus
1334
6
emesen
1334
7
stone47
1307
8
linuxrules
1214
9
Octon
1100
10
BjarneD
875
iptables og nagios plugins - 10 sek delay ~
Fra :
Brian Ipsen
Dato :
25-07-03 12:45
Hej!
Jeg forsøger at smide en stak iptables filtre på en host, som kører med
Nagios. Uden filtre går ftp-test ok:
/usr/lib/nagios/plugins/check_ftp -H 192.168.1.64 -w 15 -c 20 -t 20
FTP OK - 0.011 second response time on port 21 [220 ProFTPD 1.2.8 Server (My
ftp server) [ftp.domain.dk]]|time= 0.011
Slår jeg så iptables til, så får jeg:
/usr/lib/nagios/plugins/check_ftp -H 192.168.1.64 -w 15 -c 20 -t 20
FTP OK - 10.011 second response time on port 21 [220 ProFTPD 1.2.8 Server
(My ftp server) [ftp.domain.dk]]|time= 10.011
Altså 10 sekunder længere ??
Mine filtre (grundlæggende) omkring FTP er:
# Allow all internal packets out of our network.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -o
$DMZ_INTERFACE \
-j ACCEPT
# Allow the associated packets with those connections back in.
iptables -A INPUT -m state --state ESTABLISHED,RELATED \
-i $DMZ_INTERFACE -j ACCEPT
# outgoing request
iptables -A OUTPUT -o $DMZ_INTERFACE -p tcp \
-s $IPADDR_DMZ --source-port $UNPRIVPORTS \
--destination-port 21 -j ACCEPT
iptables -A INPUT -i $DMZ_INTERFACE -p tcp ! --syn \
--source-port 21 \
-d $IPADDR_DMZ --destination-port $UNPRIVPORTS -j ACCEPT
# PORT mode data channel
iptables -A INPUT -i $DMZ_INTERFACE -p tcp \
--source-port 20 \
-d $IPADDR_DMZ --destination-port $UNPRIVPORTS -j ACCEPT
iptables -A OUTPUT -o $DMZ_INTERFACE -p tcp ! --syn \
-s $IPADDR_DMZ --source-port $UNPRIVPORTS \
--destination-port 20 -j ACCEPT
Nogen idé om hvor de 10 sekunder kommer fra ?? Reverse DNS og identd lookup
skulle være slået fra i ProFTPD, og der er intet at se i loggen omkring
blokerede pakker i hverken indgående eller udgående retning..
/Brian
Søg
Alle emner
Teknologi
Operativsystemer
Linux
Indstillinger
Spørgsmål
Tips
Usenet
Reklame
Statistik
Spørgsmål :
177560
Tips :
31968
Nyheder :
719565
Indlæg :
6408941
Brugere :
218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.