Iptables säädön jälkeen kirjautumisen ja käynnistymisenvä..[ratkaistu osittain]

[jaldemar]

Tein iptables mini howto ohjeiden ja Suomenkieliset iptables- wiki ohjeen avulla iptables säätöjä.

Kaikki toimii muuten hyvin, mutta kirjautumis ruutujen jälkeen kun painan enteriä niin, käynnistymiseen kuluu 3 min 20s kun ennen säätöjä kului joitakin kymmeniä sekunteja.

Mistä moinen johtuu ja voidaanko nopeuttaa?

/etc/network/interfaces tiedosto näyttää säädön jälkeen tältä:

auto lo
iface lo inet loopback

pre-up iptables-restore < /etc/palomuuri

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

auto eth2
iface eth2 inet dhcp

auto ath0
iface ath0 inet dhcp

auto wlan0
iface wlan0 inet dhcp

Tiedostoon on ainoastaan lisätty:

pre-up iptables-restore < /etc/palomuuri
ennen rivin lisäystä tein enterillä tyhjän rivin edellisen rivin jälkeen. (en tiedä vaikuttaako asiaan)

/etc/palomuuri tiedosto näyttää tältä:

# Generated by iptables-save v1.3.3 on Wed Oct 10 18:37:43 2007
*filter
:INPUT ACCEPT [23:6357]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [243:51848]
-A INPUT -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Wed Oct 10 18:37:43 2007

Minulla on ainoastaan yksi verkkokortti eikä minulla ole sisäverkkoa.

Kun tein iptables sääntöjä niin käytin seuraavia komentoja:

Koodia: [Valitse]

sudo iptables -A INPUT -p tcp --dport 0:1023 -j DROP
sudo iptables -A INPUT -p udp --dport 0:1023 -j DROP

sudo iptables -A INPUT -p tcp --syn -j DROP
sudo iptables -A INPUT -p icmp -j DROP

sudo iptables -A INPUT -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT


sudo iptables -A INPUT -j DROP

Kaikki siis pelaa loistavasti ja portit näkyy stealtina hackerwatch testauksella, mutta se käynnistymisessä tapahtuva viive on aika raju.
Haluaisin kuitenkin, että portit ovat myös stealt tilassa.
Enkä halua ainakaan vielä asentaa firstarteria vaan haluan harjoitella päätteen käyttöä.

Käytössä Ubuntu versio 6.06LTS ja koneena PII jossa suoritin 333mhz ja muistia 320, mutta voiko pieni kone teho hidastaa noin.

En ole palomuuri expertti, enkä kauhean häävi päätteen käyttäjäkään joten toivon selkeitä ohjeita, jos joku keksii mikä nopeuttaisi käynnistystä.

Jos lisätietoja kaivataan niin vastaukset voivat tulla viiveellä.

Kiitos etukäteen.

Kiitän jo etukäteen.

[Risto H. Kurppa]

Vähänä aiheen vierestä, mutta toisaalta hyvinkin osuvaa: http://forum.ubuntu-fi.org/index.php?topic=13017.msg94555#msg94555

Toivottavasti joku osaisi vastata varsinaiseen kysymykseesi..

r

[Petri Järvisalo]

Ongelma varmaan on varmaan icmp-pakettien blokkauksessa, jolloin dhcp ei saa vastausta siitä, että kone on todella olemassa ja tällöin ip:n saaminen hidastuttaa koneen käynnistymisen.

pre-upin tilalle post-up ja pitäis nopeutua.
siirrä lisäksi rivi ihan tiedoston loppuun.

Parempi säätö tuohon icmp-paketteihin olisi seuraava:

Sallitaan icmp echo ja host unreachable ja muuta tärkää ja sivutetaan turhat:
jos haluat että pingiin ei vastata, ota type 0 pois käytöstä, mutta noi nyt olis kuitenkin ihan hyvä olla olemassa.

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -j DROP

[jaldemar]

Ongelma varmaan on varmaan icmp-pakettien blokkauksessa, jolloin dhcp ei saa vastausta siitä, että kone on todella olemassa ja tällöin ip:n saaminen hidastuttaa koneen käynnistymisen.

pre-upin tilalle post-up ja pitäis nopeutua.
siirrä lisäksi rivi ihan tiedoston loppuun.

Parempi säätö tuohon icmp-paketteihin olisi seuraava:

Sallitaan icmp echo ja host unreachable ja muuta tärkää ja sivutetaan turhat:
jos haluat että pingiin ei vastata, ota type 0 pois käytöstä, mutta noi nyt olis kuitenkin ihan hyvä olla olemassa.

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -j DROP

Valitettavasti ei ollut apua. Tuli kuitenkin roppakaupalla harjoitusta.

Kun laitan pre-upin tilalle post-upin ja siirrän rivin tiedoston loppuun, siis auto wlan0
iface wlan0 inet dhcp jälkeen niin käynnistys kyllä nopeutuu , mutta hackerwatchin mukaan portit eivät ole stealth tilassa vaan oletustilassa siis kiinni.

Jos laitan post-upin mihintahansa väliin
auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

auto eth2
iface eth2 inet dhcp
niin käynnistymis ongelma säilyy 3min 20s siitä kun olen kirjautunut sisään ja siihen kun työpöytä on avautunut.

Mikä tahansa väli
auto eth2
iface eth2 inet dhcp

auto ath0
iface ath0 inet dhcp

auto wlan0
iface wlan0 inet dhcp

jälkeen käynnistyminen tapahtuu normaalisti, eikä portit ole stealth tilassa.

IPtables sääntöjen täydennys näillä:
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -j DROP

Ei vaikuta käynnistymisaikaan mitenkään ja jos post-upin laittaa samalla välille
auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

auto eth2
iface eth2 inet dhcp
niin portit ovat stealth tilassa, mutta käynnistysaika on edelleen 3min 20s

Jos täydennän iptablessäännöt tälläisellä pätkällä:

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -j DROP
niin käynnistysaika muuttuu 6min 30s

Sallitaan icmp echo ja host unreachable näille en osaa tehdä mitään jos eivät ole edellisessä listassa.

Nyt kone on toistaiseksi oletustilassa eli iptables säädöt eivät ole käytössä. oletus tilassa käynnistymisaika on tasan 40sekuntia siitä kun painan salasanan jälkeen enteriä, siihen kun työpöytä on avautunut.
Tämä on mielestäni hyvä aika vanhalle koneelle.

Se on muuten mielenkiintoista, että kun iptables säätöjä kokeilee silloin kun kone on auki, niin viiveitä ei ilmaannu säätöjen käyttöön otossa, mutta kun koneen käynnistää uudelleen niin käynnistymiseen tulee viive joka pidentää sen 3min 20s tai pidemmäksi .

Vähänä aiheen vierestä, mutta toisaalta hyvinkin osuvaa: http://forum.ubuntu-fi.org/index.php?topic=13017.msg94555#msg94555

Toivottavasti joku osaisi vastata varsinaiseen kysymykseesi..

r

Asentelin tuon bootchartin koneelle onnistuneesti, mutta häpeäkseni on pakko tunnustaa, etten osaa sitä
käyttää.

Homma tökkii siinä etten osaa avata kaaviota enkä laittaa lokeja päälle.

Säätökokemus oli kuitenkin mielenkiintoinen ja kiitän neuvoja antaneita.

Jos joku keksii jonkun muun vinkin, niin kokeilen sitäkin, kunhan ohje on suunnilleen rautalangasta väännetty.

[Petri Järvisalo]

hoh. onpa ihme.
Mikähän tuossa iptablesissa viivästää..

Tuo bootchart tosiaan voisi kertoa missä tuhrautuu aikaa.

Tiedoston saat auki, kun valitset Sijainnit --> Tietokone
tässä ikkunassa pitäisi olla kirjoitettava palkki --> /var/log/bootchart, jos palkkia ei tule, paina ctrl + l

Kansiossa pitäisi olla png kuva / kuvia nimettynä päivämäärän mukaan.

[jaldemar]

Bootchart tiedostot löytyivät kiitos siitä.
Niitä onkin kertynyt säätöjen yhteydessä aika monta.

Bootchartin mittaamalla tavalla kun iptables säädöt ovat oletuksella niin tavallinen aika oli 1min 47 s vaihtelu oli muutaman sekunnin tarkkuudella.

Bootchartin mittaamalla tavalla kun iptables säädöt ovat stealttina aika oli 2min 46s muutaman sekunnin vaihtelulla.

Tosin en tullut Bootchartin listauksista sen viisaammaksi kun en tiedä mitä mikin vaihe tekee.

Mihin voin laittaa pari niistä liitteenä jos joku viisaampi ymmärtäisi?

[Risto H. Kurppa]

Esim. tähän ketjuun. Kirjoita uutta viestiä, valitse viestinkirjoituslaatikon alapuolelta 'lisätoiminnot' ja siitä löytyy liitetiedostot..


r

[jaldemar]

ÄsH edellinen meni pipariksi kun tiedosto oli liian suuri.
Lähetän yhden kerrallaan, yhteensä kaksi vertailun vuoksi.

Ensin tulee se jossa iptables säädöt ovat päällä.

Käyttäjälle käynnistymisen hitaus näkyy siinä ku oletuskirjautumis ikkunoiden jälkeen näyttö näkyy mustana siihen asti kunnes työpöytä käynnistyy näkyviin näytölle. Tämä aika on sekuntikellolla mitattuna 3min 20s silloin kun iptables säädöt ovat käytössä.

Bootchart ilmeisesti mittaa jotain muuta.

Lähetän toisella viestillä Bootchart listauksen jossa ei ole iptables säätöjä käytössä.

[jaldemar]

Pahus se liite jäi. Anteeksi sähläys.

[ylläpito on poistanut liitteen]

[jaldemar]

Nyt siis tulee, se listaus jossa iptables säädöt on pois käytöstä.

[ylläpito on poistanut liitteen]

[Tomin]

Voisi niitä viestejä muokatakkin eikä vain aina kirjoittaa uutta edellisen perään.

[jaldemar]

Ongelma on ratkaistu osittain , jos sitä voi ratkaisuksi sanoa.

Käyttöön otettiin firestarter, jonka avulla päästiin toivottuun tulokseen.

Toivottu tulos on että hackerwatch- testi näyttää vihreää ja koneen käynnistys ei viivästy merkittävästi.

Nähtävästi firestarter aktivoituu käynnistyksen jälkeen eri kohdassa kuin, pelkät ohjeiden mukaiset iptables säädöt, joten vanha kone pelaa jouhevammin kun käyttää firestarteria säätöihin.

Firestarterin asennuksessa ja käytössä ei ollut ongelmia ja asennuksessa käytin synapticia.

Pääasia on että pääsin haluamaani lopputulokseen, vaikka hieman hävettää, ettei täydellinen onnistuminen tapahtunut pelkillä iptables säädöillä ilman firestarteria. 

[audi]

Tuskin nopeuttaa, mutta minulla tiedosto on yksinkertaisempi, sillä vain yksi verkkokortti käytössä.

Koodia: [Valitse]

auto lo
iface lo inet loopback

pre-up iptables-restore < /etc/palomuuri

auto eth0
iface eth0 inet dhcp

[jaldemar]

Tuskin nopeuttaa, mutta minulla tiedosto on yksinkertaisempi, sillä vain yksi verkkokortti käytössä.

Koodia: [Valitse]

auto lo
iface lo inet loopback

pre-up iptables-restore < /etc/palomuuri

auto eth0
iface eth0 inet dhcp

Kiitos Audi vinkistä tuota pitää kokeilla, kun saan taas sopivan puhdin päälle, ainakin siinä näyttäisi olevan tosi paljon ideaa.

Kumminkin asia jää kaivelemaan ja sitä tulee jonain vapaapäivänä kokeiltua.

Minullakin on ainoastaan yksi verkkokortti fyysisesti koneella ja kortin  olen omakätisesti asentanut, joten ihmettelinkin miksi listaus antoi useita korttivaihtoehtoja.

Ainahan voin sitten palata tuohon Firestarteriin takaisin kun näyttää toimivan, mutta periaatteessa ei pidä periksi antaa.