Firewall bremst Clients aus

[DAS-ICH]

Hi

habe seit einiger Zeit das Problem, das in meinem Lokalen Netz, sobald auf meiner Linux-Rouer-Kiste die Firewall läuft die, das Internet extrem langsam wird.

Eine simple Google-Anfrage dauert dann, bis die Seite komplett aufgebaut ist, 20-Sec.

Downloads allerdings, wenn sie dann einmal starten, laufen mit vollem Speed.

Schalte ich die Firewall ab, dann läuft alles wie es soll.

Die Firewall ist iptables und die konfiguriere ich mittels Shorewall.

Hat wer vielleicht ne Idee woran das liegen könnte das es so träge ist??

MfG

[mcheizer]

Ich würde sagen das deine Regeln für den Zugriff auf die DNS-Server nicht OK sind !
Da würde ich als erstes mal nach schauen.

Gruß mcheizer

[DAS-ICH]

Hi

meiner Meinung nach passen die Regeln, aber kann natürlich sein das irgendwo ein Hacken ist.

Ich nutze für die Clients Squid und Dansguardian zum Filtern, zum browsen im Internet. Es funktioniert ja auch, nur es dauert eben ewig bis ne Webseite geladen wird solange die Firewall läuft.

DNS scheint ja zu funktionieren, da ich ja sonst keine Webadressen auflösen könnte.

MfG

[Duff]

Wenn du die IPTABLES-Regeln mal deaktivierst, kannst du die Seiten wieder schneller/normal aufbauen?

Wenn ja, wie sehen denn die IPTABLES-Regeln aus?

[DAS-ICH]

Hi

wie Eingangs schon beschrieben ist das der Fall, deaktiviere ich die Firewall läuft I-Net normal.

Die Regeln kann ich nicht darstellen, da ich Shorewall nutze und der macht dann alles für mich, ich sage Ihm nur was er durchlassen soll und den Rest einfach REJECT.

Was ich machen kann ist ein iptables -L, wenn es der Problemlösung betragen sollte.

MfG

[chroiss]

moin.

Code: Alles auswählen

iptables -vL

und

Code: Alles auswählen

cat /etc/resolv.conf

würden in der Tat Aufschluss bringen.

Gruss chroiss

[DAS-ICH]

Hi

Die Ausgabe von iptables -vL ist hier http://nopaste.debianforum.de/21238

Und cat /etc/resolv.conf hat nur dieses drin stehen

# generated by NetworkManager, do not edit!

Hoffe kannst was mit anfangen

MfG

[Duff]

Muss in der /etc/resvol.conf nicht der DNS-Server eingetragen sein?

[brill]

also bei allen meinen Linuxkisten ist in der resolv.conf der nameserver eingetragen.

teste doch mal ob du bei einem aufrufen einer Seite direkt mit der IP schneller bist, dann liegt es am dns lookup denke ich.

Hier ein Beispiel http://72.14.221.104 das wäre www.google.de

Grüsse
Brill

[DAS-ICH]

Hi

also daran liegt es auch nicht, gebe ich die IP ein dauert es genauso lange. Ich denke mal es steht bei mir nichts in der resolv.conf, weil ich noch nen Hardware-Router habe der als DNS-Server im lokalen Netz dient, sag ich mal.

Wie schon erwähnt, schalte ich IPTABLES aus läuft es ja.

MfG

[chroiss]

Hi.

Also ich habe mir mal Deine Regeln angekuckt, aus denen nicht ersichtlich ist wo das Problem liegt. Jedenfalls werden keine dns-Anfragen anfänglich gedropt, sowie es aussieht. Insgesamt erleichtern die vielen definierten Chains der Shorewall das Verständnis nicht.

Als Lösungsweg würde ich mit eingeschalteter Firewall das Tool tcpdump empfhelen, um so Licht ins dunkle zu bringen.
Dazu könntest Du mal auf der Kiste sowas anwerfen wie :

Code: Alles auswählen

tcpdump -i ppp0 -ntq  host die_ip_deines_clients

Damit kannst Du sehr gut nachvollziehen, was und vor Allen Dingen von wo denn Dein Client zuerst versucht eine Adressauflösung zu bekommen.

Wie sieht das eigentlich direkt auf dem Firewall rechner aus ? Kriegt der sofort einen ping auf eine Internetseite , oder dauert das bei dem ebenfalls ewig ?

gruss chroiss

[Zu der resolv.conf - ich wuesste keinen Fall bei dem die resolv.conf leer bleiben sollte, auch nicht wenn ein Hardwarerouter für die letztendliche Namensauflösung sorgt. Ebenso sollte in Deinen Clients ein DNS eingetragen sein]

[DAS-ICH]

Hi

also der Firewall-Rechner geht ganz normal ins Internet, ob die Firewall an ist oder nicht. Kein spürbarer Unterschied.

In der resolv.conf steht bei keinem Client, auf Linuxbasis, was drin, wozu auch, die Namensauflösung soll ja auch der Firewallrechner erledigen und die Clients nutzen dann den Proxy der das managen soll.

Hier nochmals der Erklärungsversuch wie mein Heimnetz aufgebaut ist.

DSL-Router Telekom
I
I
I
Debian-Rechner mit Firewall und Proxy (Squid mit Dansguardian)
I
I
I
/I\
/ I \
/ I \
/ I \
Client A B C

Ohne Firewall läuft es super mit Firewall erschreckend lahm.


tcpdump konnte mir auch nicht weiterhelfen, ob ich nun die Firewall anhabe oder nicht die Ports die genutzt werden sollen sind auch offen und es klemmpt eben.

MfG

[Duff]

Meinst du mit ausschalten der Firewall auch das Deaktivieren des Proxy's?

Was passiert denn, wenn du nur den Proxy deaktivierst?

[DAS-ICH]

Hi

nein der Proxy läuft weiter und wenn ich den "Ausschalte" kommt keiner von den Clients ins Netz der Netze.
Ich will und muss alles durch den Proxy, bzw Filter von Dansguardian jagen, da ich Kinder im Haushalt habe und nicht ständig dahinter stehen will um aufzupassen wo sie lang surfen.

MfG

[DAS-ICH]

Hi

hat keiner von euch mehr ne Idee wo ich nachschauen könnte??

MfG

[DAS-ICH]

Hi

nach langem hin und her und einigem Suchen stellte ich fest das das Internet am Client trotz deaktivierter Firewall immer langsamer wurde.

Habe daraufhin Dansguardian mal komplett deinstalliert (purge-Option) und wieder von Grundauf neu eingerichtet.

Nun läuft alles wie es soll, mit aktivierter Firewall und dergleichen.

Schien also an Dansguardian gelegen zu haben, waren wohl Sachen in der Config mit denen Dans nichts anfangen konnte und somit durcheinander kam und alles ausgebremst hat.

MfG

PS.: Danke für eure Mühen