SSH Zugang nach Port-Änderung langsam

[cob-web]

Hi,

ich habe den SSH Port auf 65000 (+paar Zerquetschte) geändert.
Seit dem dauert bei mir das Verbinden mit Putty sowie WinSCP etwa 21 Sekunden. Nach dem Verbinden geht es dann eigentlich ganz normal.
Woran kann das liegen? Kann die Firewall das bremsen?
Jedenfalls nervt's

(mein Server: vServer Basic bei S4Y, Suse 9.3)

Thx cob-web

 

[Firewire2002]

Ich würd meinen das liegt nicht an der Portverlegung.
Sondern eher am fehlschlagen der Reverse DNS Lookups deiner IP.

 

[cob-web]

Es ist die Firewall!
(Wenn ich sie vorübergehend deaktiviere, funktioniert es wieder normal)

Ich habe den folgenden Regelsatz für den neuen SSH Port geschrieben:

Protokoll: TCP
Source-IP: Alle
Remote-Port: Alle
Local-Port: 65xxx
Aktion: Annehmen

Das ist doch so in Ordnung, oder?

 

[traced]

Meinst Du die Firewall auf dem Server oder bei Dir Lokal?

lg
Basti

 

[cob-web]

auf dem Server - über den PowerPanel bei S4Y kann mann die iptables konfigurieren

 

[Firewire2002]

Als ich diese Funktion des PowerPanels vor knapp 2 Jahren getestet hab, musste ich leider Feststellen, dass diese an einigen Stellen etwas fehleranfällig ist.
Daher hab ich es vorgezogen ein eigenes IPTables Script einzusetzen.

 

[traced]

Is glaub ich einfacher Du postest mal kurz Dein IPTables Config file, sollte z.B. hier liegen /etc/iptables oder /etc/sysconfig/iptables

Weiss leider nicht genau was s4u dann dort genau reinstellt.

lg
Basti

 

[cob-web]

...zu dumm, aber ich finde iptables gerade nicht! - wo könnte es noch sein?

(ich habe gerade festgesstellet, dass iptables plötzlich auch alle E-Mails zurückhällt!!!)

 

[traced]

Hier musst Du noch Port 25 für SMTP und z.B. Port 110 für Pop3, bzw. für Imap Port 143 freigeben,

lg
Basti

PS: Grad bei google gelesen:
Auslesen der Konfiguration mit "iptables -L"

 

[cob-web]

Also inzwischen ging gar nichts mehr - habe den alten Regelsatz gelöscht und einen neuen Erzeugt:
/usr/sbin/iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
allips     all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain allips (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             localhost
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pcsync-https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:65xxx
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spt:ntp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:5224
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:0:1023 flags:!SYN,RST,ACK/SYN
DROP       all  --  anywhere             anywhere

Es funktioniert nun auch alles wieder wie es soll
Ich vermute, dass die Regel:

udp spt:domain

irgendwie nicht mehr stimmte.


Danke für eure Hilfe.
lg cob-web

 

[traced]

Chain allips (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             localhost

Hmmm... hebelt das nicht die ganze Firewall aus?

 

[marneus]

Präzises ja.

 

[cob-web]

Chain allips (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             localhost

Hmmm... hebelt das nicht die ganze Firewall aus?

Das bedeutet doch nur, dass alle ausgehenden Verbindungen erlaubt sind!

 

[traced]

ACCEPT     all  --  anywhere             localhost

Kleiner Denkfehler, das bedeutet dass von "anywhere" alles was nach "localhost" geht erlaubt ist, und genau das willst Du nicht denk ich mal.

Wenn dann müsstest Du alles von localhost nach anywhere erlauben, aber das ist ja auch nicht im Sinne des Erfinders!

lg
Basti

 

[cob-web]

Ja aber am Ende steht dann wieder

DROP       all  --  anywhere             anywhere

das die erste Zeile wieder aufhebt, oder stehe ich auf dem Schlauch?

 

[traced]

Rein von der Logik her:

Die Regeln werden der Reihe nach bearbeitet, wenn eine der oberen zutrifft is ok, das Paket geht durch. Wenn keine Regel zutrifft dann kommt die Regel Drop All, und nix geht.

Bei Deiner Config geht das Paket egal was es ist schon bei der ersten Regel durch, und das bringt ja dann nix.

lg
Basti

PS: Bitte korrigiert mich falls ich mich irre!

 

[Firewire2002]

Die Ausgabe von iptables -L ist sehr beschränkt, die vollständigen Regeln werden da leider nicht angezeigt, sondern nur diese verstümmelte Form.
Zudem ist dabei localhost als DNS Name gemeint, somit also Ziel 127.0.0.1
Auf 127.0.0.1 können nur Prozesse Daten schicken die auch über 127.0.0.1 senden.
Somit würde die Zeile den Traffic von und zu localhost erlauben.

Was passiert wenn einer von aussen Daten an 127.0.0.1 sendet, muss man hier ja wohl niemand erklären.

 

[traced]

Gut, dann einfach in den Regeln localhost durch Deine IP ersetzen.
@Firewire: Wie kann man denn die genauen Regeln herausfinden? Würd mich auch interessieren

lg
Basti

 

[cob-web]

Habe es jetze wie folgt geändert:

Chain ip-xx.xx.xxx.xxx (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:http
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:https
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:smtp
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:pop3
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:imap
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:smtps
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:imaps
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:pcsync-https
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp dpt:65xxx
ACCEPT     udp  --  anywhere             vs.xxxxxxx.vserver.de udp spt:domain
ACCEPT     udp  --  anywhere             vs.xxxxxxx.vserver.de udp spt:ntp
ACCEPT     tcp  --  anywhere             vs.xxxxxxx.vserver.de tcp spt:5224
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:0:1023 flags:!SYN,RST,ACK/SYN
REJECT     all  --  anywhere             vs.xxxxxxx.vserver.de reject-with icmp-port-unreachable

@Firewire2002 - du hast Recht, dass Power Panel -Tool für die Firewall kann man daher wegschmeissen...

 

[traced]

Ich bin mir echt ned sicher obs ned geschickter ist die IP zu nehmen?!
Ausserdem, vs.xxxxxxx.vserver.de ist falsch, sollte doch vsxxxxx.vserver.de sein.

lg
Basti