LINUX.ORG.RU

iptables и тормоза загрузки


0

1

Добрый день.

Debian 7 - маршрутизатор, iptables.

Помогите решить такую проблему. На всех компьютерах которые за натом на НЕКОТОРЫХ сайтах загрузки практически нет или она ничтожно мала. На некоторых сайтах нормально.

Также тупит потоковое интернет радио - поиграет и пропадает.

Крайне медленно работают некоторые сайты.

#!/bin/sh

iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A INPUT -i tun0 -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j MASQUERADE

Гуру по iptables может сходу что-то предложат, но нам, простым нубам, для начала стоит tcpdump посмотреть

zolden ★★★★★ ()

забыл сказать, что на самом сервере все ок.

Ledicon ()
Ответ на: комментарий от zolden

не постесняюсь спросить - какую информацию лучше выдать?..

Ledicon ()

когда на одних сайтах работает, а на других нет, это в 99% случаев MTU.

Надо уменьшить MTU (google://iptables clamp mss to mtu)

sdio ★★★★★ ()
Последнее исправление: sdio (всего исправлений: 1)
Ответ на: комментарий от sdio

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

если вы об этом...

Ledicon ()

да какбэ конфиг ничего страшного в себе не содержит. стандартный, можно сказать.
ну, туннель там какой-то болтается, но есть роутинг правильно настроен, то не должно быть проблем.
скорее всего, тормоза не в нём.
пробовал всё сбросить в iptables и скорость померять? ну хоть того же радио?

вообще, проблемы со стримом - это обычно проблемы wifi. я много лет занимаюсь музыкой и ещё ни разу не видела людей, у которых на wifi не было проблем со стримингом, даже на хороших скоростных роутерах. может, тут такая же проблема?

Iron_Bug ★★★★ ()
Ответ на: комментарий от Ledicon

Запусти
tcpdump -i any host ip_проблемного_ресурса -s0 -w dump.pcap -v
После теста открой дамп в wireshark

zolden ★★★★★ ()
Ответ на: комментарий от sdio

а вы не могли бы полностью строчку сбросить...был бы вам очень признателен

Ledicon ()
Ответ на: комментарий от Ledicon
man iptables

       This  target  is  used to overcome criminally braindead ISPs or servers
       which block "ICMP Fragmentation Needed"  or  "ICMPv6  Packet  Too  Big"
       packets.   
       The  symptoms of this problem are that everything works fine
       from your Linux firewall/router,  but  machines  behind  it  can  never
       exchange large packets:

       1.  Web browsers connect, then hang with no data received.

       2.  Small mail works fine, but large emails hang.

       3.  ssh works fine, but scp hangs after initial handshaking.

       Workaround:  activate  this option and add a rule to your firewall con‐
       figuration like:

               iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN
                           -j TCPMSS --clamp-mss-to-pmtu

sdio ★★★★★ ()
Последнее исправление: sdio (всего исправлений: 1)
Ответ на: комментарий от Ledicon

Кроме MTU ничего в голову не приходит, но и запрещать icmp глупо.

sdio ★★★★★ ()
Ответ на: комментарий от Ledicon

Ну попробуйте на время заменить ″--clamp-mss-to-pmtu″ на ″--set-mss 600″.

И ещё посмотрите вывод команды ″dmesg″, нет ли там сообщний о переполнении conntrack.

mky ★★★★★ ()
Ответ на: комментарий от sdio

самое нозящее - не везде есть скачка. Например, с acer.ru драйвер 9 мег может скачиваться 2 часа...в итоге вообще не скачается.. с другого сайта - падает быстро..

выкручиваюсь - скачиваю через elinks на сервере, но некоторым сотрудникам у нас это неподвластно..да и.. как то не очень.. думал сделать через vnc браузер с головного сервака...но тоже как-то по-детски..

Ledicon ()
Ответ на: комментарий от Ledicon

спасибо огромное всем откликнувшимся, отдельная благодарность mky.

так и можно оставить?..чем-то такая настройка может откликнуться позже?

Ledicon ()
Ответ на: комментарий от Ledicon

Меньше MTU — больше пакетов, больше служебной, а не полезной информации в канале. Если по мегабайтная оплата, то больше платы, если узкий канал, то меньше скорость загрузки.

mky ★★★★★ ()

Проблемы с траффиком?

slamd64 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.