Linux Firewall

A

a4kata

Member
Здравейте, искам да попитам има ли полза от linux firewall-а ,в момента съм изключил firewall-а и имам средно по около 70-90 потребителя онлайн характеристиките на сървъра са ми :

AMD Athlon 64 X2 Dual 4400+ (2.3 Ghz, 512 cache)
2GB DDR2 RAM и 100 mbps/sec връзка .


Във пиковите часови сайта ми (elit-bg.com) се отваря много бавно даже преди около 2 часа сървърът се крашна . Процесорът почти през цялото време е на 100 % ( само mysql използва 75-80 %) ,а RAM-та на около 1,7 GB .

Web сървърът ,който използвам е lighttpd с fast cgi и xcache . Преди време когато наех сървърът имаше firewall ,но аз го изключих ,защото ми блокирваше уеб сървърът . Въпросът ми е ако включа firewall-a ще може ли да се премахне част от натоварването ?
 
От: Linux Firewall

Аз лично не бих се отказал от firewall-a си. Знам, че товари машината и следи трафика, респективно бави, но опредлено е необходим. Опредлено част от натоварването ще падне, но мисля че не е от толкова голямо значени, защото няма да се осети много. Освен ако не цикли много и без него. ;)
 
От: Linux Firewall

Това, че firewall-а бавел е частично вярно, но бави малко, а спестява много повече бавене. Много е важен firewall-а при подръжка на сайтове с директен download, торент тракер/клиент, сайтове за по-гигантски картинки.

Ето ви моята формула за елементарен ефективен firewall:

1. IPTables правила
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 10/s -m length --length 0:84 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP

2. mod_cband (за Apache)
2.1. За хостване на сайт (до 10 паралелни връзки)
<IfModule mod_cband.c>
CBandSpeed 0 0 0
CBandRemoteSpeed 0 10 10
</IfModule>
2.2. За хостване на по-големи файлове (по 1 паралелна връзка за до N брой хора)
<IfModule mod_cband.c>
CBandSpeed 0 0 N
CBandRemoteSpeed 0 2 1
</IfModule>

П.П.:
Всичко това предпазва от злонамерена или поради бъг помпа от страна на някой умишлено/неумишлено повреден браузър или друга такава програма.

П.П.П.:
Тази формула я ползвам за мой сървър с терабайтов месечен трафик работещ безпроблемно от близо две години.
 
От: От: Linux Firewall

Здавей,
може ли да обясниш малко по-подробно какво правят тези iptables праивла..?

Благодаря предварително!:)

Unwise каза:
Това, че firewall-а бавел е частично вярно, но бави малко, а спестява много повече бавене. Много е важен firewall-а при подръжка на сайтове с директен download, торент тракер/клиент, сайтове за по-гигантски картинки.

Ето ви моята формула за елементарен ефективен firewall:

1. IPTables правила
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 10/s -m length --length 0:84 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP

2. mod_cband (за Apache)
2.1. За хостване на сайт (до 10 паралелни връзки)
<IfModule mod_cband.c>
CBandSpeed 0 0 0
CBandRemoteSpeed 0 10 10
</IfModule>
2.2. За хостване на по-големи файлове (по 1 паралелна връзка за до N брой хора)
<IfModule mod_cband.c>
CBandSpeed 0 0 N
CBandRemoteSpeed 0 2 1
</IfModule>

П.П.:
Всичко това предпазва от злонамерена или поради бъг помпа от страна на някой умишлено/неумишлено повреден браузър или друга такава програма.

П.П.П.:
Тази формула я ползвам за мой сървър с терабайтов месечен трафик работещ безпроблемно от близо две години.
Увеличете...
 
От: Linux Firewall

Първото блокира невалидните пакети. Такива се получават например когато някой помпи със заявки без да слуша. От опит знам, че с добре модифициран FlashGet може само един човек да забие сървър при липса на това правило.
Второто и третото за заедно. Те ограничават ping-ът до нормалния му размер само, т.е. без големи помпи с ping.

По принцип има и още интересни правила, но тези са основните.
 
От: От: Linux Firewall

Да, благодаря много, направо ги описвам ей сега на момента, защото аз на скоро бях търсил някакви iptables firewalls, но намерих някакви доста големи писания от които повечето не ми бяха ясни и не рискувах.., ако не ти е проблем може да пост-неш още някое полезно правило :clap: ще ти бъда благодарен !!!
Unwise каза:
Първото блокира невалидните пакети. Такива се получават например когато някой помпи със заявки без да слуша. От опит знам, че с добре модифициран FlashGet може само един човек да забие сървър при липса на това правило.
Второто и третото за заедно. Те ограничават ping-ът до нормалния му размер само, т.е. без големи помпи с ping.

По принцип има и още интересни правила, но тези са основните.
Увеличете...
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе