ファイヤーウォールとか
先般入手したサーバが結構早いので、現在このサイト他を新サーバ上に移築中だったりします。
CPUは早くなったもののメモリを現サーバの1GBから384MBと約1/3に減らした→データベースを含んだ実際のパフォーマンスはどうなるかと思ってましたが、MySQLのそうデカくないテーブルに各種クエリーを複合して投げるタイプの動的webアプリケーション
パース時間が53%とか→概ね2倍速い(!)
という結果がコンスタントに出た
まぁ、主負荷たるblogの再構築は主にHDDの速度による→HDDは従来と同じST340014Aなんで、あんまりは変わらなさそうですが(^_^;)
新サーバもルーターの内側に置く予定ですが、念のためiptablesで防御壁を張ります。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- ***.***.***.*** 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 192.168.1.*** 0.0.0.0/0 tcp multiport dports 5901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp multiport dports 80,443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
ACCEPT udp -- 192.168.1.0/24 0.0.0.0/0 multiport dports 137,138 udp
ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:139
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:2425
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 127.0.0.1 127.0.0.1
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
上から
- SSH (オレ専用)
遠隔VNC (オレ専用)SSLトンネルを透せば不要でした- LAN内VNC (オレ専用)
- HTTP、HTTPS
- FTP
- Webmin
(実際にはwebmin側で制限しており、やはり「オレ専用」) - SMB (LAN内限定)
- SMB (同上)
- IP Messenger (正確にはGIPMSG。同上)
- 継続、および関連ポート
- ループバック
のみを例外とし、以外のINPUTパケットをすべて遮断(DROP)してます。ばっさり。
ちなみに現段階でルータを貫通してるのは
FTP/SSH/HTTP/VNC/WEBMIN
のみで、SSH/VNC/WEBMINはワタシ専用なので一般公開されてるサービスとしては「FTPとHTTPだけ」ってことになります。
# /etc/init.d/iptables save
しとかないと再起動したときに適用されません→ファイヤーウォールがハズレた状態になります。一度忘れて冷や汗かいたんで、次に備えてメモ。
その後インターネット経由のVNC(オレ専用)はルータを貫通させず、SSLをトンネルする設定に修正しました。
注意点>
iptablesとiptablesは同時に組み込めないんで、
とやってipchainsが出て来た場合はrmmodで取り除いとく必要があります。ワタシはコレを怠ったため、iptablesを組み込もうとしたらmodprobeが暴走しました。しかも2連続(^^;;
ファイヤーウォールでがっちりサーバを固めちゃったので、ファイルの転送や同期はrsyncでやってます。
「-e ssh」を付けとくと、22番ポート1つでファイルコピーが出来ます
出来ればsambaもxinetdから呼び出してDirect Hosting of SMB対応にする工事を実施しておけば445番ポート1つで済んでファイヤーウォールの管理がラクなんすけども、未だwin9Xからアクセスする可能性があるので今回は断念。
ということで、現在も着々と移行準備が進んでおります。近日移築予定。