iptables и squid

0

1

Ребята, помогите.
Когда включаю iptables интернет начинает медленней работать чем без него, некоторые сайты загружает только шапку дальше долго ждёт.

При выключенном iptables всё работает быстро, те сайты где загружало только шапку грузятся полностью и быстро.

Не пойму в чём причина??????

В iptables в общей сложности 101 правило, много это или мало???? Может причина в большом количестве правил, iptables всё тормозит???

А может причина в squid??? Может его надо как то ускорить???

Кто может помочь помогите пожалуйста!!!

Ссылка

←	Размер шрифта расладки клавиатуры в Xfce4.

«Не удалось включить визуальные эффекты»

→

правила в студию

dreamer ★★★★★
(19.11.10 20:15:25 MSK)

Ссылка

В догонку

на speedtest.net показывает скорость равную пропускной способности канала, то есть всё нормально. Но вот сама страница speedtest.net
загружалась медленней чем при выключенном iptables

v4567 ★★
(19.11.10 20:18:34 MSK) автор топика

Ответ на: комментарий от v4567 19.11.10 20:18:34 MSK

правила

Chain INPUT (policy DROP)
target prot opt source ACCEPT all — 127.0.0.0/8 DROP all — 127.0.0.0/8 DROP all — 0.0.0.0/0 ACCEPT tcp — XXXXXXXXXXX ACCEPT udp — XXXXXXXXXXX ACCEPT 47 — XXXXXXXXXXXXX ACCEPT tcp — XXXXXXXXXXX ACCEPT udp — XXXXXXXXXXXX ACCEPT udp — 0.0.0.0/0 ACCEPT udp — 0.0.0.0/0 ACCEPT tcp — 0.0.0.0/0 ACCEPT udp — 0.0.0.0/0 ACCEPT tcp — 0.0.0.0/0 ACCEPT udp — 0.0.0.0/0 ACCEPT tcp — 192.168.8.242 ACCEPT udp — 192.168.8.242 ACCEPT udp — 192.168.8.0/24 ACCEPT tcp — 192.168.255.2 ACCEPT udp — 192.168.255.2 ACCEPT tcp — 192.168.255.247 ACCEPT udp — 192.168.255.247 ACCEPT tcp — 192.168.10.0/24 ACCEPT udp — 192.168.10.0/24 ACCEPT tcp — 192.168.8.0/24 ACCEPT udp — 192.168.8.0/24 ACCEPT tcp — 0.0.0.0/0 ACCEPT udp — 0.0.0.0/0

destination
127.0.0.0/8
0.0.0.0/0
127.0.0.0/8
XXXXXXXXXXXXX multiport sports 22,1723 state ESTABLISHED
XXXXXXXXXXXXX multiport sports 22,1723 state ESTABLISHED
XXXXXXXXXXXXX state NEW,ESTABLISHED
XXXXXXXXXXX tcp spt:2014 state ESTABLISHED
XXXXXXXXXXXXX udp spt:2014 state ESTABLISHED
XXXXXXXXXXX udp dpt:53 state NEW,ESTABLISHED
XXXXXXXXXXXXX udp spt:53 state ESTABLISHED
XXXXXXXXXXXXX tcp dpt:22 state NEW,ESTABLISHED
XXXXXXXXXXXXX udp dpt:22 state NEW,ESTABLISHED
XXXXXXXXXXXX tcp dpt:1723 state NEW,ESTABLISHED
XXXXXXXXXXXX udp dpt:1723 state NEW,ESTABLISHED
192.168.8.4 tcp dpt:22 state NEW,ESTABLISHED
192.168.8.4 udp dpt:22 state NEW,ESTABLISHED
192.168.8.4 udp dpt:53 state NEW,ESTABLISHED
192.168.255.254 state NEW,ESTABLISHED
192.168.255.254 state NEW,ESTABLISHED
192.168.255.3 state NEW,ESTABLISHED
192.168.255.3 state NEW,ESTABLISHED
192.168.255.3 multiport dports 139,445,3389 state NEW,ESTABLISHED
192.168.255.3 multiport dports 139,445,3389 state NEW,ESTABLISHED
192.168.8.4 tcp dpt:3128 state NEW,ESTABLISHED
192.168.8.4 udp dpt:3128 state NEW,ESTABLISHED
XXXXXXXXXXX tcp spt:80 state ESTABLISHED
XXXXXXXXXXX udp spt:80 state ESTABLISHED

v4567 ★★
(19.11.10 20:32:29 MSK) автор топика

Ответ на: комментарий от v4567 19.11.10 20:32:29 MSK

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp — 192.168.8.0/24 192.168.10.0/24 multiport dports 139,445,3389 state NEW,ESTABLISHED
ACCEPT udp — 192.168.8.0/24 192.168.10.0/24 multiport dports 139,445,3389 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.10.0/24 192.168.8.0/24 multiport sports 139,445,3389 state NEW,ESTABLISHED
ACCEPT udp — 192.168.10.0/24 192.168.8.0/24 multiport sports 139,445,3389 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.255.247 192.168.8.0/24 multiport sports 139,445,3389 state NEW,ESTABLISHED
ACCEPT udp — 192.168.255.247 192.168.8.0/24 multiport sports 139,445,3389 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.0/24 192.168.255.2 multiport sports 22,139,445,3389 state ESTABLISHED
ACCEPT udp — 192.168.8.0/24 192.168.255.2 multiport sports 22,139,445,3389 state ESTABLISHED
ACCEPT tcp — 192.168.255.2 192.168.8.0/24 multiport dports 22,139,445,3389 state NEW,ESTABLISHED
ACCEPT udp — 192.168.255.2 192.168.8.0/24 multiport dports 22,139,445,3389 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.0/24 192.168.1.53 tcp dpt:3389 state NEW,ESTABLISHED
ACCEPT udp — 192.168.8.0/24 192.168.1.53 udp dpt:3389 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.1.53 192.168.8.0/24 tcp spt:3389 state ESTABLISHED
ACCEPT udp — 192.168.1.53 192.168.8.0/24 udp spt:3389 state ESTABLISHED
ACCEPT tcp — 192.168.10.0/24 192.168.8.1 multiport dports 25,80,110 state NEW,ESTABLISHED
ACCEPT udp — 192.168.10.0/24 192.168.8.1 multiport dports 25,80,110 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.1 192.168.10.0/24 multiport sports 25,80,110 state ESTABLISHED
ACCEPT udp — 192.168.8.1 192.168.10.0/24 multiport sports 25,80,110 state ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 192.168.8.1 multiport dports 25,80,110,2525 state NEW,ESTABLISHED
ACCEPT udp — 0.0.0.0/0 192.168.8.1 multiport dports 25,80,110,2525 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.1 0.0.0.0/0 multiport sports 25,80,110,2525 state NEW,ESTABLISHED
ACCEPT udp — 192.168.8.1 0.0.0.0/0 multiport sports 25,80,110,2525 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.1 0.0.0.0/0 multiport dports 25,110,2525 state NEW,ESTABLISHED
ACCEPT udp — 192.168.8.1 0.0.0.0/0 multiport dports 25,110,2525 state NEW,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 192.168.8.1 multiport sports 25,110,2525 state NEW,ESTABLISHED
ACCEPT udp — 0.0.0.0/0 192.168.8.1 multiport sports 25,110,2525 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.242 0.0.0.0/0 multiport dports 25,110,2525 state NEW,ESTABLISHED
ACCEPT udp — 192.168.8.242 0.0.0.0/0 multiport dports 25,110,2525 state NEW,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 192.168.8.242 multiport sports 25,110,2525 state NEW,ESTABLISHED
ACCEPT udp — 0.0.0.0/0 192.168.8.242 multiport sports 25,110,2525 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.243 0.0.0.0/0 multiport dports 25,110,443,2525,7002 state NEW,ESTABLISHED
ACCEPT udp — 192.168.8.243 0.0.0.0/0 multiport dports 25,110,443,2525,7002 state NEW,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 192.168.8.243 multiport sports 25,110,443,2525,7002 state NEW,ESTABLISHED
ACCEPT udp — 0.0.0.0/0 192.168.8.243 multiport sports 25,110,443,2525,7002 state NEW,ESTABLISHED

v4567 ★★
(19.11.10 20:34:13 MSK) автор топика

Ответ на: комментарий от v4567 19.11.10 20:34:13 MSK

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all — 127.0.0.0/8 127.0.0.0/8
DROP all — 127.0.0.0/8 0.0.0.0/0
DROP all — 0.0.0.0/0 127.0.0.0/8
ACCEPT tcp — XXXXXXXXXXXX XXXXXXXXXXXX multiport dports 22,1723 state NEW,ESTABLISHED
ACCEPT udp — XXXXXXXXXXXXXX XXXXXXXXXXXX multiport dports 22,1723 state NEW,ESTABLISHED
ACCEPT 47 — XXXXXXXXXXXX XXXXXXXXXXX state NEW,ESTABLISHED
ACCEPT tcp — XXXXXXXXXXXX XXXXXXXXXXXXX tcp dpt:2014 state NEW,ESTABLISHED
ACCEPT udp — XXXXXXXXXXX XXXXXXXXXXXXX udp dpt:2014 state NEW,ESTABLISHED
ACCEPT udp — XXXXXXXXXXXXXX 0.0.0.0/0 udp dpt:53 state NEW,ESTABLISHED
ACCEPT udp — XXXXXXXXXXXXX 0.0.0.0/0 udp spt:53 state ESTABLISHED
ACCEPT tcp — XXXXXXXXXXXX 0.0.0.0/0 tcp spt:22 state ESTABLISHED
ACCEPT udp — XXXXXXXXXXXX 0.0.0.0/0 udp spt:22 state ESTABLISHED
ACCEPT tcp — XXXXXXXXXXXXX 0.0.0.0/0 tcp spt:1723 state ESTABLISHED
ACCEPT udp — XXXXXXXXXXXXX 0.0.0.0/0 udp spt:1723 state ESTABLISHED
ACCEPT tcp — 192.168.8.4 192.168.8.242 tcp spt:22 state ESTABLISHED
ACCEPT udp — 192.168.8.4 192.168.8.242 udp spt:22 state ESTABLISHED
ACCEPT udp — 192.168.8.4 192.168.8.0/24 udp spt:53 state ESTABLISHED
ACCEPT tcp — 192.168.255.254 192.168.255.2 state NEW,ESTABLISHED
ACCEPT udp — 192.168.255.254 192.168.255.2 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.255.3 192.168.255.247 state NEW,ESTABLISHED
ACCEPT udp — 192.168.255.3 192.168.255.247 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.255.3 192.168.10.0/24 multiport dports 139,445,3389 state NEW,ESTABLISHED
ACCEPT udp — 192.168.255.3 192.168.10.0/24 multiport dports 139,445,3389 state NEW,ESTABLISHED
ACCEPT tcp — 10.10.8.2 10.10.8.1 state NEW,ESTABLISHED
ACCEPT udp — 10.10.8.2 10.10.8.1 state NEW,ESTABLISHED
ACCEPT tcp — 10.10.8.2 192.168.1.53 tcp dpt:3389 state NEW,ESTABLISHED
ACCEPT udp — 10.10.8.2 192.168.1.53 udp dpt:3389 state NEW,ESTABLISHED
ACCEPT tcp — 192.168.8.4 192.168.8.0/24 tcp spt:3128 state ESTABLISHED
ACCEPT udp — 192.168.8.4 192.168.8.0/24 udp spt:3128 state ESTABLISHED
ACCEPT tcp — XXXXXXXXXXXXX 0.0.0.0/0 tcp dpt:80 state NEW,ESTABLISHED
ACCEPT udp — XXXXXXXXXXXXX 0.0.0.0/0 udp dpt:80 state NEW,ESTABLISHED

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp — 192.168.8.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128
REDIRECT udp — 192.168.8.0/24 0.0.0.0/0 udp dpt:80 redir ports 3128
DNAT tcp — 0.0.0.0/0 XXXXXXXXXXXXX multiport dports 25,80,110,2525 to:192.168.8.1
DNAT udp — 0.0.0.0/0 XXXXXXXXXXXXX multiport dports 25,80,110,2525 to:192.168.8.1
DNAT tcp — 0.0.0.0/0 XXXXXXXXXXXXX multiport sports 25,110,2525 to:192.168.8.1
DNAT udp — 0.0.0.0/0 XXXXXXXXXXXXX multiport sports 25,110,2525 to:192.168.8.1
DNAT tcp — 0.0.0.0/0 XXXXXXXXXXXXX multiport sports 25,110,2525 to:192.168.8.242
DNAT udp — 0.0.0.0/0 XXXXXXXXXXXXX multiport sports 25,110,2525 to:192.168.8.242
DNAT tcp — 0.0.0.0/0 XXXXXXXXXXXXX multiport sports 25,110,443,2525,7002 to:192.168.8.243
DNAT udp — 0.0.0.0/0 XXXXXXXXXXXXX multiport sports 25,110,443,2525,7002 to:192.168.8.243

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp — 192.168.8.1 0.0.0.0/0 multiport sports 25,80,110,2525 to:XXXXXXXXXXX
SNAT udp — 192.168.8.1 0.0.0.0/0 multiport sports 25,80,110,2525 to:XXXXXXXXXXX
SNAT tcp — 192.168.8.1 0.0.0.0/0 multiport dports 25,110,2525 to:XXXXXXXXXXXXX
SNAT udp — 192.168.8.1 0.0.0.0/0 multiport dports 25,110,2525 to:XXXXXXXXXXXXX
SNAT tcp — 192.168.8.242 0.0.0.0/0 multiport dports 25,110,2525 to:XXXXXXXXXXXXX
SNAT udp — 192.168.8.242 0.0.0.0/0 multiport dports 25,110,2525 to:XXXXXXXXXXXXX
SNAT tcp — 192.168.8.243 0.0.0.0/0 multiport dports 25,110,443,2525,7002 to:XXXXXXXXXXXXXXX
SNAT udp — 192.168.8.243 0.0.0.0/0 multiport dports 25,110,443,2525,7002 to:XXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXX - внешний ip

v4567 ★★
(19.11.10 20:35:16 MSK) автор топика

Наймите специалиста.
Или хотя-бы прочитайте про path mtu discovery и ICMP.
А говоря русским языком для совсем глупых - разрешите прием ICMP-сообщений.

Ваше описание «загружает только шапку» это классический пример неправильной настройки межсетевого экрана (firewall) на котором вследствие вопиющей неграмотности запретили прием всех ICMP-пакетов.

Nastishka ★★★★★
(19.11.10 21:19:26 MSK)

Ответ на: комментарий от Nastishka 19.11.10 21:19:26 MSK

Вообще, рекомендую добавить такие инструкции для вашего случая:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Nastishka ★★★★★
(19.11.10 21:25:35 MSK)

Ссылка

> В iptables в общей сложности 101 правило, много это или мало

Это не много и не мало, но когда эти правила в одной простыне как у Вас, это неправильно.

Nastishka ★★★★★
(19.11.10 21:44:49 MSK)

Ответ на: комментарий от Nastishka 19.11.10 21:44:49 MSK

Nastishka объясните пожалуйста зачем нужно разрешать приём icmp
пакетов, причём наверное даже из вне.

Ваше описание «загружает только шапку»

Да правило пропускает пакеты для установки соединения: syn syn/ack syn
по которому будут идти данные. Что ещё нужно я не знаю?? Объясните пожалуйста.

v4567 ★★
(19.11.10 23:56:54 MSK) автор топика

Ответ на: комментарий от v4567 19.11.10 23:56:54 MSK

Nastishka наоборот использование icmp пакетов для определения mtu
может привести к блокированию передачи данных.
Вот статья: http://www.fima.net/masquerade_page5.html

v4567 ★★
(20.11.10 00:22:09 MSK) автор топика

Ответ на: комментарий от v4567 19.11.10 20:35:16 MSK

у меня даже на серваках такой портянки нет

scaldov ★★
(20.11.10 11:29:23 MSK)

Ссылка

Ответ на: комментарий от v4567 20.11.10 00:22:09 MSK

> Nastishka наоборот использование icmp пакетов для определения mtu может привести к блокированию передачи данных.

Вы сами то прочли текст по той ссылке, которую только что привели? Там русским языком разжевано все в разделе «какие пакеты не надо уничтожать». И еще раз повторю - разрешите прием ICMP-пакетов, как минимум с типом destination-unreachable.