iptables -L - bardzo wolne listowanie reguł

Narzędzie do testowania firewalla @ **Andrzej_Dopierała** | **15.09.2015**

3
1
40

Chce wyświetlić wszystkie reguły w iptables za pomocą polecenia:

iptables -L

trwa to:

real   0m28.063s
user   0m0.020s
sys   0m0.010s

jeżeli zrobię to za pomocą polecenia:

iptables -L -n

Trwa to:

real   0m0.009s
user   0m0.000s
sys   0m0.000s

Skąd wynika taka duża różnica czasowa?

Zapytał
@ Grzegorz_Chojnowski_ | 29.01.2017
- lider
- laureat
- 40
- 10
- 57

1

Różnica wynika z tego, iż przy braku parametru -n każdy adres ip jest resolvowany za pomocą dns. Co przy dużej ilości reguł może być dosyć wolne. Jak koniecznie chcesz używać iptables bez -n to proponuję użyć lokalnego dnsa, który będzie trzymał revdns dla wszystkich adresów ip umieszczonych w regułach.

Komentarze (1)

Odpowiedział
@ Andrzej_Dopierała | 31.01.2017
- lider
- laureat
- ekspert
- 83
- 65
- 169

Komentarze

Cenna uwaga, przetestuję.

Skomentował : @ Grzegorz_Chojnowski_ ,31.01.2017

40
10
57

0

Ja proponuję sprawdzić ustawienia serwera DNS i tego co masz w IPTABLES. Zazwyczaj tak bywa, gdy np. masz wprowadzony jakiś błędny oraz poprawny serwer DNS (może błędny wpis w IPTABLES). Wtedy najpierw odpytywany jest ten błędny, aż nastąpi timeout, a potem poprawny. Poprawnie skonfigurowane DNYy powinny odpowiadać dłużej, ale nie aż tak. Myślę, że polecenie nslookup powinno być pomocne.

Komentarze (1)

Odpowiedział
@ Kamil_Rosiński | 02.02.2017
- 1
- 0
- 1

Komentarze

IPtables jest dobry, ma tylko 2 proste reguły, podejrzewam, że to może być DNS, dzięki Wam chłopaki za nakierowanie mnie. :)

Skomentował : @ Grzegorz_Chojnowski_ ,02.02.2017

40
10
57

0

Tylko to niekoniecznie musi być konfiguracja samego serwera DNS, a może być lokalnie w /etc/resolv.conf. Możesz wrzucić te reguły IPTABLES? Jeśli trzeba, to w jakiś sposób zanonimizowane.

Skomentuj

Odpowiedział
@ Kamil_Rosiński | 03.02.2017
- 1
- 0
- 1

Pytanie