[Erledigt] Debian langsam

[monumentum]

Hallo,

Ich habe heute meinen neuen Server aufgesetzt, mit LAMP-Stack, was auch schnell läuft. Ein Reboot geht in wenigen Sekunden über die Bühne, aber dann habe ich fail2ban installiert und meine iptables eingespielt. Die iptables blocken den kompletten INPUT bis auf ein paar Ports für SSH, HTTP(S) und Mailverkehr. Das hoch- und herunterfahren dauert, und wenn er dann mal läuft, braucht man eine ganze Weile nach der Eingabe des Benutzernamens über SSH, bis das Passwortfeld erscheint. Dann geht alles gewohnt schnell, su und alle Befehle werden sofort umgesetzt. Reboot dauert dann wieder ewig. Fail2ban habe ich deinstalliert, keine Besserung. Erst als ich alle rules geflusht habe, läuft der Neustart und SSH wieder schnell. Können ein paar simple Portsperren (7 an der Zahl) den Server so stark verlangsamen? Was kann ich machen?

Es ist ein OpenVZ-vServer.

Vielen Dank und viele Grüße
monumentum

[Natureshadow]

Hi,

OpenVZ funktioniert nicht.

Du kannst aber mal deine Regeln posten...

-nik

[monumentum]

Funktioniert in wie fern nicht?

[uname]

Schau erst mal in

Code: Alles auswählen

dmesg

wo lange Zeiträume vergehen und poste die jeweiligen Zeilen vorher und nachher. Für SSH schau noch mal in /var/log/auth.log auch wenn dort bestimmt nichts drinsteht. Könnte alles gefühlt ein Netzwerk- oder DNS-Problem sein.

[monumentum]

Code: Alles auswählen

root@serv:~# dmesg
root@serv:~#

...nicht sehr aussagekräftig.

Meine Regeln:

Code: Alles auswählen

# Generated by iptables-save v1.4.8 on Sun Mar 17 18:22:37 2013
*filter
:INPUT DROP [4:204]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [38:3412]
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
COMMIT
# Completed on Sun Mar 17 18:22:37 2013

[uname]

Aber mit deaktivierter Firewall funktioniert es ohne Probleme? Vielleicht doch DNS? Dauert die Namenslauflösung generell ziemlich lange?

[monumentum]

Das Problem mit dem Start habe ich behoben: Ich musste den ganzen Traffic für das Interface lo freigeben. Alles wieder schnell rebootet. Nur das Problem mit dem Login...Könnte ggf. an nss liegen, das offenbar vor dem MySQL-Server gestartet wird:

Code: Alles auswählen

nss-mysql[301]: _nss_mysql_db_connect: connection failed: Can't connect to MySQL server on '127.0.0.1' (111)

[uname]

Ich musste den ganzen Traffic für das Interface lo freigeben.

Ok, das war wirklich dumm.

Für den Fehler könntest du mal versuchen das Paket libnss-mysql durch libnss-mysql-bg zu tauschen oder umgekehrt. Soll nur so eine Idee sein, da ich eigentlich gar keine Ahnung habe.

[Natureshadow]

Du hast Traffic auf dem lo-Interface blockiert.

iptables -I INPUT -i lo -j ACCEPT

Edit: Ah, steht schon oben.

[monumentum]

Nach einem "Upgrade" auf das zweite libnss-Paket und

Code: Alles auswählen

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

funktioniert es.

Vielen Dank