после цепочек iptables Firefox тормозит

SmiGes	# 12 лет, 1 месяц назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	вот посоветовали добавить iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT ACCEPT и после этого фф тормозит, и при выборе плагина поиска, и при нажатии ПКМ, причём если iptables остановить, то всё начинает работать нормально

# 12 лет, 1 месяц назад

Сообщения: 836

Участник с: 04 августа 2009

вот посоветовали добавить

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

и после этого фф тормозит, и при выборе плагина поиска, и при нажатии ПКМ, причём если iptables остановить, то всё начинает работать нормально

alexxx	# 12 лет, 1 месяц назад
Темы: 1 Сообщения: 149 Участник с: 29 октября 2006	Хы, может iptables -A INPUT -p ALL -i lo -j ACCEPT забыл?

h4tr3d	# 12 лет, 1 месяц назад
Темы: 34 Сообщения: 2656 Участник с: 12 июля 2007	Alex, не нужно, пусть лучше поймет что он там впиндюрил, для чего это нужно, а так же для чего в системе есть интерфейс lo и адрес 127.0.0.1. Подсказка: ff любит локальные сетевые подключения. systemd должен умереть.

SmiGes	# 12 лет, 1 месяц назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	h4tr3d Alex, не нужно, пусть лучше поймет что он там впиндюрил, для чего это нужно, а так же для чего в системе есть интерфейс lo и адрес 127.0.0.1. Подсказка: ff любит локальные сетевые подключения. знаю знаю, но что-то не догодался что фф локальную петлю юзает, действительно теперь после этого правила быстродействие вернулось к фф

SmiGes

# 12 лет, 1 месяц назад

Темы: 166

Сообщения: 836

Участник с: 04 августа 2009

h4tr3d
Alex, не нужно, пусть лучше поймет что он там впиндюрил, для чего это нужно, а так же для чего в системе есть интерфейс lo и адрес 127.0.0.1.

Подсказка: ff любит локальные сетевые подключения.

знаю знаю, но что-то не догодался что фф локальную петлю юзает, действительно теперь после этого правила быстродействие вернулось к фф

h4tr3d	# 12 лет, 1 месяц назад
Темы: 34 Сообщения: 2656 Участник с: 12 июля 2007	вообще ограничивать loop-back это очень дурная затея. хотя да, на случай если хост сам себя за досить решит, то доооо… systemd должен умереть.

bobart	# 12 лет, 1 месяц назад
Темы: 38 Сообщения: 2537 Участник с: 28 ноября 2009	Две копейки в кассу: мне, не смыслящему в iptables, довелось настроить эту страшную штуку, воспользовавшись статьёй Simple stateful firewall, понимаете, к чему я? После чего товарищ немного помог (по джабберу), а именно, запретить пинговать IP - мелкая шлифовка, так сказать. Так вот, там, в вики, чёрным по белому: Цепочка interfaces Мы будем использовать цепочку interfaces для всего трафика из надежных сетевых интерфейсов. Первое необходимое правило: # iptables -A interfaces -i lo -j ACCEPT Это правило принимает весь трафик с интерфейса loopback, который необходим для нормальной работы многих приложений. Странна сама ситуация “вот, посоветовали добавить” )

bobart

# 12 лет, 1 месяц назад

Темы: 38

Сообщения: 2537

Участник с: 28 ноября 2009

Две копейки в кассу: мне, не смыслящему в iptables, довелось настроить эту страшную штуку, воспользовавшись статьёй Simple stateful firewall, понимаете, к чему я? После чего товарищ немного помог (по джабберу), а именно, запретить пинговать IP - мелкая шлифовка, так сказать. Так вот, там, в вики, чёрным по белому:

Цепочка interfaces 
Мы будем использовать цепочку interfaces для всего трафика из надежных сетевых интерфейсов. Первое необходимое правило: 
# iptables -A interfaces -i lo -j ACCEPT
Это правило принимает весь трафик с интерфейса loopback, который необходим для нормальной работы многих приложений.

Странна сама ситуация “вот, посоветовали добавить” )

SmiGes	# 12 лет, 1 месяц назад (отредактировано 11 лет, 12 месяцев назад)
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	помогло

SmiGes	# 11 лет, 12 месяцев назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	терь с новыми правилами таже история [email protected]:~$ sudo iptables -nvL --line-numbers Пароль: Chain INPUT (policy DROP 605 packets, 56755 bytes) num pkts bytes target prot opt in out source destination 1 1282 411K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,22,139 3 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:40112 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:40112 5 620 57515 interfaces all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT all -- * * 192.168.11.145 192.168.11.254 ctstate NEW 2 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT 1022 packets, 132K bytes) num pkts bytes target prot opt in out source destination Chain interfaces (1 references) num pkts bytes target prot opt in out source destination 1 15 760 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 [email protected]:~$

SmiGes

# 11 лет, 12 месяцев назад

Темы: 166

Сообщения: 836

Участник с: 04 августа 2009

терь с новыми правилами таже история

[email protected]:~$ sudo iptables -nvL --line-numbers
Пароль: 
Chain INPUT (policy DROP 605 packets, 56755 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1282  411K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 21,22,139 
3        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:40112 
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:40112 
5      620 57515 interfaces  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     all  --  *      *       192.168.11.145       192.168.11.254      ctstate NEW 
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
Chain OUTPUT (policy ACCEPT 1022 packets, 132K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain interfaces (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1       15   760 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
[email protected]:~$