Можно прдробнее, что такое "тупит"?
Открываем любой сайт - открывается практически одним щелчком.
Открываем любой https-сайт (
https://sberbank.ru, опять же интерфейс гуглопочты работает по https и т.д.) - браузер ждет загрузки, доооолго ждет, похоже - выжидает некий таймаут (около 30 сек.), потом страница начинает медленно (по баннеру, по капельке) выгружаться.
Прямо как в старом советском приколе: "Инженер включил рубильник, и ток меееедлееенно пошел по проводам"
Открывается конечно, но с такими тормозами, что без балансировки намного лучше.
Для всех WAN интерфейсов открыт порт 53 (tcp/udp) на bind ?
В sysloge bind нету криков типа - too many timeouts resolving или network unreachable resolving
Бинд работает корректно, на фаере в цепочках INPUT и OUTPUT:
iptables -A INPUT -i lo -j ACEPT
iptables -A OUTPUT -o lo -j ACCEPT
nslookup выполняется корректно, видно, что кэширует: при повортном nslookup на только что запрошенный адрес, выдает его ип заметно быстрее.
Бинд настроен стандартно как кэширующий по данному стандартному мануалу:
https://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D1%81%D0%BB%D1%83%D0%B6%D0%B1%D0%B0_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D1%85_%D0%B8%D0%BC%D0%B5%D0%BD/configurationbind кеширует ?
rndc dumpdb
less /var/cache/bind/named_dump.db
Да, кэширует. Содержимое named_dump.db думаю приводить не надо
Откуда берутся сертификаты, можно в Firefox посмотреть -
Right click -> View page info -> Security -> View Certificate -> Details ->
Certificate -> Extensions -> CLR Distribution points
Ну например для
https://sberbank.ruGeoTrust Global CA
И что теперь? Пробовал его экспортировать - не помогает.
По поводу FTP, иногда помогает -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
Т.к некоторые FTP сервера лезут на ident и тормозят.
Не помогает. Однако, представленная Вами информация для меня в новинку. Ни разу не встречался с идентификацией через ident на FTP-сервере.
Да и проблема выявилась на открытых серверах (с анонимным доступом), например на
ftp://ftp.dlink.ru/pubЕсли уменьшается скорость, вплоть до зависания.
Перво-наперво надо попробовать -echo "1" > /proc/sys/net/ipv4/ip_no_pmtu_disc
Погуглите Path MTU Discovery - станет понятно зачем.
С проблемой Path MTU Discovery ранее сталкиваться приходилось.
Вы это имеете в виду?:
Вся работа сводилась к задействованию правила в iptables:
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
А указанный Вами параметр: echo "1" > /proc/sys/net/ipv4/ip_no_pmtu_disc
я вообще вижу первый раз. Спасибо а новую информацию, буду курить мануалы и экспериментировать.
UPDATE:Пробный эксперимент с такими настройками:
echo "1" > /proc/sys/net/ipv4/ip_no_pmtu_disc
iptables -I FORWARD 1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128
Взято вот отсюда:
Показал хорошие результаты.
Полномасштабный эксперимент буду проводить после рабочего дня, когда народ разойдется по домам и, в случае неудачи, не будет ругаться на нестабильную связь. Если заработает - отпишусь, и выложу, кстати, скорректированный конфиг из первого сообщения в этой теме.
Смутило только одно:
Рекомендации, вообще-то дают такие:
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Т.е. таблица mangle
А тут:
iptables -I FORWARD 1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128
таблица filter.
Как будет "православнее" с точки зрения мануала по iptables?