iptables и тормоза загрузки

0

1

Добрый день.

Debian 7 - маршрутизатор, iptables.

Помогите решить такую проблему. На всех компьютерах которые за натом на НЕКОТОРЫХ сайтах загрузки практически нет или она ничтожно мала. На некоторых сайтах нормально.

Также тупит потоковое интернет радио - поиграет и пропадает.

Крайне медленно работают некоторые сайты.

#!/bin/sh

iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A INPUT -i tun0 -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j MASQUERADE

Ссылка

←	зависает при подключении usb устройства

Не работает WLAN (BCM 4313bgn)

→

Гуру по iptables может сходу что-то предложат, но нам, простым нубам, для начала стоит tcpdump посмотреть

zolden ★★★★★
(11.08.14 08:44:36 MSK)

забыл сказать, что на самом сервере все ок.

Ledicon
(11.08.14 08:45:06 MSK) автор топика

Ссылка

Ответ на: комментарий от zolden 11.08.14 08:44:36 MSK

не постесняюсь спросить - какую информацию лучше выдать?..

Ledicon
(11.08.14 08:50:01 MSK) автор топика

когда на одних сайтах работает, а на других нет, это в 99% случаев MTU.

Надо уменьшить MTU (google://iptables clamp mss to mtu)

~~sdio~~ ★★★★★
(11.08.14 08:58:34 MSK)
Последнее исправление: sdio 11.08.14 09:00:22 MSK (всего исправлений: 1)

Ответ на: комментарий от sdio 11.08.14 08:58:34 MSK

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

если вы об этом...

Ledicon
(11.08.14 09:02:04 MSK) автор топика

да какбэ конфиг ничего страшного в себе не содержит. стандартный, можно сказать.
ну, туннель там какой-то болтается, но есть роутинг правильно настроен, то не должно быть проблем.
скорее всего, тормоза не в нём.
пробовал всё сбросить в iptables и скорость померять? ну хоть того же радио?

вообще, проблемы со стримом - это обычно проблемы wifi. я много лет занимаюсь музыкой и ещё ни разу не видела людей, у которых на wifi не было проблем со стримингом, даже на хороших скоростных роутерах. может, тут такая же проблема?

Iron_Bug ★★★★★
(11.08.14 09:03:06 MSK)

Ссылка

Ответ на: комментарий от Ledicon 11.08.14 08:50:01 MSK

Запусти
tcpdump -i any host ip_проблемного_ресурса -s0 -w dump.pcap -v
После теста открой дамп в wireshark

zolden ★★★★★
(11.08.14 09:04:04 MSK)

Ссылка

Ответ на: комментарий от Ledicon 11.08.14 09:02:04 MSK

Да, не заметил. Но это должно быть в -t mangle

~~sdio~~ ★★★★★
(11.08.14 09:05:46 MSK)
Последнее исправление: sdio 11.08.14 09:06:53 MSK (всего исправлений: 1)

Ответ на: комментарий от sdio 11.08.14 09:05:46 MSK

а вы не могли бы полностью строчку сбросить...был бы вам очень признателен

Ledicon
(11.08.14 09:26:09 MSK) автор топика

Ответ на: комментарий от Ledicon 11.08.14 09:26:09 MSK

man iptables

       This  target  is  used to overcome criminally braindead ISPs or servers
       which block "ICMP Fragmentation Needed"  or  "ICMPv6  Packet  Too  Big"
       packets.   
       The  symptoms of this problem are that everything works fine
       from your Linux firewall/router,  but  machines  behind  it  can  never
       exchange large packets:

       1.  Web browsers connect, then hang with no data received.

       2.  Small mail works fine, but large emails hang.

       3.  ssh works fine, but scp hangs after initial handshaking.

       Workaround:  activate  this option and add a rule to your firewall con‐
       figuration like:

               iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN
                           -j TCPMSS --clamp-mss-to-pmtu

~~sdio~~ ★★★★★
(11.08.14 09:29:49 MSK)
Последнее исправление: sdio 11.08.14 09:32:52 MSK (всего исправлений: 1)

Ответ на: комментарий от sdio 11.08.14 09:29:49 MSK

ничего не изменилось...

Ledicon
(11.08.14 09:44:07 MSK) автор топика

Ответ на: комментарий от Ledicon 11.08.14 09:44:07 MSK

Кроме MTU ничего в голову не приходит, но и запрещать icmp глупо.

~~sdio~~ ★★★★★
(11.08.14 09:51:05 MSK)

Ответ на: комментарий от Ledicon 11.08.14 09:26:09 MSK

http://i66.fastpic.ru/big/2014/0811/ab/dfdfeb9d764a8c5f22e619d5aad636ab.gif

Ledicon
(11.08.14 10:11:23 MSK) автор топика

Ссылка

mtu?

vxzvxz ★★★
(11.08.14 10:11:49 MSK)

Ссылка

Ответ на: комментарий от Ledicon 11.08.14 09:44:07 MSK

Ну попробуйте на время заменить ″--clamp-mss-to-pmtu″ на ″--set-mss 600″.

И ещё посмотрите вывод команды ″dmesg″, нет ли там сообщний о переполнении conntrack.

mky ★★★★★
(11.08.14 10:14:06 MSK)

Ответ на: комментарий от sdio 11.08.14 09:51:05 MSK

самое нозящее - не везде есть скачка. Например, с acer.ru драйвер 9 мег может скачиваться 2 часа...в итоге вообще не скачается.. с другого сайта - падает быстро..

выкручиваюсь - скачиваю через elinks на сервере, но некоторым сотрудникам у нас это неподвластно..да и.. как то не очень.. думал сделать через vnc браузер с головного сервака...но тоже как-то по-детски..

Ledicon
(11.08.14 10:14:38 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 11.08.14 10:14:06 MSK

РАБОТАЕТ!

Ledicon
(11.08.14 10:18:04 MSK) автор топика

Ответ на: комментарий от Ledicon 11.08.14 10:18:04 MSK

спасибо огромное всем откликнувшимся, отдельная благодарность mky.

так и можно оставить?..чем-то такая настройка может откликнуться позже?

Ledicon
(11.08.14 10:21:50 MSK) автор топика

Ответ на: комментарий от Ledicon 11.08.14 10:21:50 MSK

Меньше MTU — больше пакетов, больше служебной, а не полезной информации в канале. Если по мегабайтная оплата, то больше платы, если узкий канал, то меньше скорость загрузки.

mky ★★★★★
(11.08.14 10:35:34 MSK)