インストールメモに書いてあったIptablesの設定の中で、ちょっと不具合が生じることが判明。今は改訂版を差し替えてアップロードしてますゆえ、こちらを参考になられるのが宜しいかと。
いやね、今まで意図的に「全パケットを対攻撃ルール」にぶち込んでいたんですけど、コレやると著しくネットワークの接続速度が低下するんですわ。試しにブックマーク登録分を全てタブで開いたりなんかすると、目も当てらんないくらい接続が遅いの。パケットがSYN-FLOOD攻撃ルーチンにガシガシ入ってる。後、FTPとかの転送についてもなんかカツカツ引っかかるような障害が起きてました。
まぁ問題は「全パケット」をぶちこんでいたところであって、コネクションの確立したパケット(信頼するパケット)とかは対攻撃ルールのルーチンにぶち込んじゃいかんわな。信頼するパケットはすぐさま通過させたほうが精神衛生上よろしい。なもんで、対攻撃ルールの前に基本ルールを持ってきて、信頼するパケットかどうかの評価を対攻撃評価よりも先にすることにしました。これで接続速度が格段にマシになった。
これがセキュリティホールにならんよなぁ、とスクリプトを何度も見てしまう俺は臆病者。
Comment