Как оптимально с точки зрения производительности настроить iptables?

Question

[Anton B]

Всем привет!

На выделенном сервере крутиться MySQL и Redis, необходимо разрешить доступ к ним с доверенных IP.

Мои правила:

iptables -F

iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

iptables -A INPUT -s x.x.x.x -p tcp -m state --state NEW --dport 3306 -j ACCEPT
iptables -A INPUT -s x.x.x.x -p tcp -m state --state NEW --dport 6379 -j ACCEPT

iptables -P INPUT DROP 
iptables -P FORWARD DROP

ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP

В час пик в syslog падает большое количество ошибок вида:

Feb  2 22:03:04 cache kernel: [595850.616259] nf_conntrack: table full, dropping packet
Feb  2 22:03:09 cache kernel: [595855.555346] net_ratelimit: 806 callbacks suppressed

Подобного рода ошибки рекомендуется лечить следующим образом:

echo "net.netfilter.nf_conntrack_max=1048576" >> /etc/sysctl.conf
sysctl -p

Вопросы:
1. Если доверенным IP разрешить доступ ко всем портам и убрать правило --state ESTABLISHED,RELATED, то nf_conntrack использоваться не будет и ошибок переполнения таблицы не будет?
2. Не смотря на установку net.netfilter.nf_conntrack_max=1048576, после перезагрузки сервера параметр принимает исходное значение 65536, как этого избежать?
3. Какие дополнения к моим правилам iptables стоит внести?

Спасибо за ответы!

Answer 1

[Anton B]

Спасибо за помощь chupasaurus и arheops.

Чтобы ошибок не возникало нужно в /etc/sysctl.conf добавить строки

net.netfilter.nf_conntrack_max = 1048576
net.netfilter.nf_conntrack_tcp_timeout_established = 3600

В /etc/rc.local перед exit 0 добавить строки

echo 262144 > /sys/module/nf_conntrack/parameters/hashsize
sysctl -p

Таким образом мы увеличиваем максимальное количество контролируемых соединений до 1048576, просим не отслеживать соединения по которым в течении часа (3600) не было пакетов, увеличиваем размер hash-таблицы по принципу 1048576 / 4 = 262144, и заставляем всё это работать после перезагрузки сервера.

arheops предложил вообще отключить контроль соединений, это позволит увеличить производительность, но на текущей нагрузке я пока в этом не нуждаюсь. Но такая возможность есть.

Answer 2

[chupasaurus]

1. Нет, netfilter используется iptables в любом случае.
2. Добавить

echo 262144 > /sys/module/nf_conntrack/parameters/hashsize

перед exit 0 в /etc/rc.local (число - четверть от nf_conntrack_max). Ну и выполнить.
3. Уменьшить таймауты на соединения (список # sysctl -a | grep conntrack | grep timeout), но надо смотреть чем забивается netfilter.

Comments

[Anton B]

Спасибо за ответ. Подскажите, как сделать так чтобы параметры в /etc/sysctl.conf
net.netfilter.nf_conntrack_max = 1048576
net.netfilter.nf_conntrack_tcp_timeout_established=3600
применялись после перезагрузки?

[Владимир Поворознюк]

Anton B: Влезу немного, с вашего разрешения. У меня при загрузке дебиана на работе система валила ошибки при монтировании сетевых шар (были указаны в /etc/fstab). Плюс мне надо было отключить ipv6 дополнительно (а это тоже делается у меня через /etc/sysctl.conf). Так что, я пошел простым путем: в /etc/network/if-up.d сделал по аналогии с уже находящимися там скриптик (права и владелец аналогичные). Название значения не имеет:
#!/bin/bash
mount -a
sysctl -p

[chupasaurus]

Anton B: Забыл, если есть директория /etc/sysctl.d/ , то изменения надо класть в /etc/sysctl.d/nftweaks.conf , например.

[arheops]

tracking выполняется iptables не в любом случае, в данном случае он выполняется по related. https://access.redhat.com/documentation/en-US/Red_...

Answer 3

[arheops]

у вас эта ошибка возникает на втором правиле. соответсвенно если вы имете на этом сервере только mysql и redis, то для ускорения вам просто надо их разрешить ПЕРЕД этим правилом както вот так.

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s x.x.x.x -m tcp -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -s x.x.x.x -m tcp -p tcp --dport 6379 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

Comments

[Anton B]

что вы имеете ввиду под ошибкой? все правила успешно срабатывают, firewall работает корректно.

[arheops]

>> nf_conntrack: table full, dropping packet
вообщето значит, что какоето количество пакетов сброшено.

[arheops]

короче, если сделаете вот так, то connection tracking не должно включатся ВООБЩЕ.

[Anton B]

Если я правильно понимаю, новое соединение принимается на 3306 порт, а все последующие взаимодействия в рамках установленного соединения проходят через выделенный сервисом случайным порт, допустим 50457. Получается, трекинг в любом случае будет. Нет?

[arheops]

а,ну да. вы еще должны верхние порты разрешить через multiport. обычно 10к-65к. трекинг в iptables вполне отключается. и если нагрузка велика это рекомендованное состояние. serverfault.com/questions/72366/how-do-i-disable-t...

[arheops]

можно еще вот так(тоже без трекинга)
[iptables]
# allow all new sessions from office network
-A INPUT,FORWARD --in-interface $UPLINK -p tcp -s $MYNETWORK --syn -j ACCEPT
# allow all new http sessions requested on this interface
-A INPUT,FORWARD --in-interface $UPLINK -p tcp --dport 80 --syn -j ACCEPT
# allow all new https sessions requested on this interface
-A INPUT,FORWARD --in-interface $UPLINK -p tcp --dport 443 --syn -j ACCEPT
# block all other new tcp sessions requested on this interface
-A INPUT,FORWARD --in-interface $UPLINK -p tcp --syn -j DROP

[arheops]

тоесть просто разрешаете syn, а потом все syn сбрасываете. это требует policy ACCEPT естественно.