LINUX.ORG.RU

iptables и тормоза загрузки


0

1

Добрый день.

Debian 7 - маршрутизатор, iptables.

Помогите решить такую проблему. На всех компьютерах которые за натом на НЕКОТОРЫХ сайтах загрузки практически нет или она ничтожно мала. На некоторых сайтах нормально.

Также тупит потоковое интернет радио - поиграет и пропадает.

Крайне медленно работают некоторые сайты.

#!/bin/sh

iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A INPUT -i tun0 -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j MASQUERADE

Гуру по iptables может сходу что-то предложат, но нам, простым нубам, для начала стоит tcpdump посмотреть

zolden ★★★★★
()

забыл сказать, что на самом сервере все ок.

Ledicon
() автор топика

когда на одних сайтах работает, а на других нет, это в 99% случаев MTU.

Надо уменьшить MTU (google://iptables clamp mss to mtu)

sdio ★★★★★
()
Последнее исправление: sdio (всего исправлений: 1)

да какбэ конфиг ничего страшного в себе не содержит. стандартный, можно сказать.
ну, туннель там какой-то болтается, но есть роутинг правильно настроен, то не должно быть проблем.
скорее всего, тормоза не в нём.
пробовал всё сбросить в iptables и скорость померять? ну хоть того же радио?

вообще, проблемы со стримом - это обычно проблемы wifi. я много лет занимаюсь музыкой и ещё ни разу не видела людей, у которых на wifi не было проблем со стримингом, даже на хороших скоростных роутерах. может, тут такая же проблема?

Iron_Bug ★★★★★
()
Ответ на: комментарий от Ledicon

Запусти
tcpdump -i any host ip_проблемного_ресурса -s0 -w dump.pcap -v
После теста открой дамп в wireshark

zolden ★★★★★
()
Ответ на: комментарий от Ledicon
man iptables

       This  target  is  used to overcome criminally braindead ISPs or servers
       which block "ICMP Fragmentation Needed"  or  "ICMPv6  Packet  Too  Big"
       packets.   
       The  symptoms of this problem are that everything works fine
       from your Linux firewall/router,  but  machines  behind  it  can  never
       exchange large packets:

       1.  Web browsers connect, then hang with no data received.

       2.  Small mail works fine, but large emails hang.

       3.  ssh works fine, but scp hangs after initial handshaking.

       Workaround:  activate  this option and add a rule to your firewall con‐
       figuration like:

               iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN
                           -j TCPMSS --clamp-mss-to-pmtu

sdio ★★★★★
()
Последнее исправление: sdio (всего исправлений: 1)
Ответ на: комментарий от Ledicon

Ну попробуйте на время заменить ″--clamp-mss-to-pmtu″ на ″--set-mss 600″.

И ещё посмотрите вывод команды ″dmesg″, нет ли там сообщний о переполнении conntrack.

mky ★★★★★
()
Ответ на: комментарий от sdio

самое нозящее - не везде есть скачка. Например, с acer.ru драйвер 9 мег может скачиваться 2 часа...в итоге вообще не скачается.. с другого сайта - падает быстро..

выкручиваюсь - скачиваю через elinks на сервере, но некоторым сотрудникам у нас это неподвластно..да и.. как то не очень.. думал сделать через vnc браузер с головного сервака...но тоже как-то по-детски..

Ledicon
() автор топика
Ответ на: комментарий от Ledicon

спасибо огромное всем откликнувшимся, отдельная благодарность mky.

так и можно оставить?..чем-то такая настройка может откликнуться позже?

Ledicon
() автор топика
Ответ на: комментарий от Ledicon

Меньше MTU — больше пакетов, больше служебной, а не полезной информации в канале. Если по мегабайтная оплата, то больше платы, если узкий канал, то меньше скорость загрузки.

mky ★★★★★
()

Проблемы с траффиком?

slamd64 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.