# Problme mit iptables



## MaxKnax (6. November 2003)

*Problem mit iptables*

Ich hab für meinen Server eine einfache FW mit iptables aufgebaut, nur habe ich dabei ein Problem, und zwar dauert jeglicher Verbindungsaufbau einige Zeit lännger, ein Beispiel, SSH Verbindung.

login as: root                    //dann dauert es ca. 10 Sekunden bis die Passwort abfrage kommt.
Password: ich gebe mein Passwort ein, es dauert ca 10 Sekunden bis die Zeile Have a Lot of Fun auftaucht, danach dauert es 30 - 60 Sekunden bis ich Befehle eingeben kann.


Der Aufruf einer auf dem Server gehosteten Website dauert 20 Sekunden.


Es kann nicht an der Verbindungsgeschwindigkeit liegen, und dieses Phenomen tritt auch nur auf, wenn ich die iptables aktiviere.


----------



## JohannesR (6. November 2003)

Das waere ein sehr ungewoehnliches Verhalten fuer iptables, poste hier doch mal dein iptables-script.


----------



## MaxKnax (6. November 2003)

```
#!/bin/sh

IP="meine IP"

DEV="eth0"	

echo "Starting myfwall Firewallscript"

#Löschen vorhandener Regeln	
iptables --flush	
iptables -t nat --flush	
iptables -t mangle --flush	    	
iptables --delete-chain

iptables -t nat --delete-chain	
iptables -t mangle --delete-chain	    	

#Default Policy	
iptables --policy INPUT DROP	    	

#Loopback	
iptables -A INPUT -i lo -j ACCEPT	
iptables -A OUTPUT -o lo -j ACCEPT	    	

#Ping / Traceroute	
iptables -A OUTPUT -p icmp -o $DEV --icmp-type echo-request -j ACCEPT 	
iptables -A INPUT -p icmp -i $DEV --icmp-type echo-reply -j ACCEPT		

#DNS Name Server	
iptables -A INPUT -p udp -i $DEV --dport 53 -j ACCEPT	    	

#HTTP	
iptables -A INPUT -p tcp -i $DEV --dport 80 -j ACCEPT	
iptables -A INPUT -p tcp -i $DEV --dport 443 -j ACCEPT	    	

#FTP	
iptables -A INPUT -p tcp -i $DEV --dport 21 -j ACCEPT	    	

#SSH	
iptables -A INPUT -p tcp -i $DEV --dport 22 -j ACCEPT	    	

#Webmin	
iptables -A INPUT -p tcp -i $DEV --dport 10000 -j ACCEPT	
iptables -A INPUT -p udp -i $DEV --dport 10000 -j ACCEPT	    	

#Teamspeak Server	
iptables -A INPUT -p udp -i $DEV --dport 8767 -j ACCEPT		

#Counter Strike 1.6 Server #team.Xerx Public	
iptables -A INPUT -p udp -i $DEV --dport 27015 -j ACCEPT
iptables -A INPUT -p tcp -i $DEV --dport 27015 -j ACCEPT        


echo "done." exit 0
```


----------



## Lampe (6. November 2003)

Was hast du denn für eine Kiste, evtl. ist die zu lahm um das in einem angemessenen Tempo zu filtern.

Um die IP zu ermitteln würde ich etwas zusätzlich scripten ;-)

Bsp.:

IP=`ifconfig eth0 | grep inet | cut -d ":" -f 2 | cut -d " " -f1`

find ich irgendwie eleganter ^^


----------



## MaxKnax (7. November 2003)

Soso, ich glaube nicht das ein P4 mit 2,4 Ghz, 256 MB Ram und 100 Mbit Internetanschluss für die iptables zu langsam ist.


----------



## JohannesR (7. November 2003)

Also was mir als erstes auffaellt ist, dass du deine IP in dem Script garnicht verwendest, das kannst du also schonmal knicken.  Hast du schonmal versucht, stuecke des Scripts auszukommentieren?


----------



## MaxKnax (7. November 2003)

Das mit der IP an der stelle, ist schon etwas veraltet, hat aber keine Auswirkungen. Auskommentieren habe ich auch schon getestet, aber ohne erfolg.


----------



## JohannesR (7. November 2003)

Wenn du alles exklusiv dem loopback unterhalb auskommentiest, was passiert dann?

Erzaehl uns doch mal was von deinem System und deinem Kernel (eigener, vorkompilierter)


----------



## MaxKnax (13. November 2003)

Das System ist ein Suse 8.1 mit Standard Kernel.
ich habe einfach ein Fertiges FW Script genommen und dieses erweiter, jetzt gehts.Soweit ich das richtig gesehen habe, werden jetzt nur neue Verbindungen geprüft, die Folgenden Packets werden dann automatisch durchgelassen.


----------

