Тормозит интернет через шлюз ubuntu server 12.04 (NAT + DHCP + Squid).

[Sergikjan]

В школе на ubuntu server 12.04 настроил шлюз в инет (NAT + DHCP + Squid) используя материал http://interface31.ru/tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.html. На нем же установил контент-фильтр Dansguardian. Инет через этот шлюз сильно тормозит, хотя без него бегает довольно шустро. Уважаемые знатоки что посоветуете?
И еще не работает ssl. Погуглив выяснил что проблема ssl связана с использоваем кеширующего прокси squid. Можно ли использовать Dansguardian без squid? Может есть другой способ решения данного вопроса. Буду благодарен всем кто внесет свой вклад в решение моего вопроса.
Задача такая. Раздать на компы в школе инет через шлюз, таким образом чтоб на рабочие места учеников инет подавался через контент-фильтр (работа ssl - не обязательна). А на рабочих местах некоторых сотрудников без контент фильтра и при этом чтоб работал ssl.

[fisher74]

Инет через этот шлюз сильно тормозит, хотя без него бегает довольно шустро.

А как без шлюза проверяли?


Покажите выхлоп

Код: [Выделить]

time nslookup ya.ru
time nslookup ya.ru 8.8.8.8

[Sergikjan]

вот результат через шлюз

(Нажмите, чтобы показать/скрыть)

gsa@main:~$ time nslookup ya.ru
Server:      127.0.0.1
Address:   127.0.0.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 213.180.204.3


real   0m0.009s
user   0m0.004s
sys   0m0.000s

gsa@main:~$ time nslookup ya.ru 8.8.8.8
;; connection timed out; no servers could be reached


real   0m15.011s
user   0m0.008s
sys   0m0.000s
gsa@main:~$

а это напрямую без шлюза

(Нажмите, чтобы показать/скрыть)

gsa@main:~$ time nslookup ya.ru
Server:      127.0.0.1
Address:   127.0.0.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 213.180.204.3


real   0m0.064s
user   0m0.000s
sys   0m0.008s
gsa@main:~$ time nslookup ya.ru 8.8.8.8
;; reply from unexpected source: 10.0.1.2#53, expected 8.8.8.8#53
;; reply from unexpected source: 10.0.1.2#53, expected 8.8.8.8#53
;; reply from unexpected source: 10.0.1.2#53, expected 8.8.8.8#53
;; connection timed out; no servers could be reached


real   0m15.011s
user   0m0.008s
sys   0m0.004s
gsa@main:~$

Правила форума

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тега [spоiler]...[/spоiler], либо прикреплять к сообщению в виде отдельного файла.

--peregrine
Пользователь решил продолжить мысль 27 Марта 2014, 18:44:44:Ответ на вопрос как я выхожу в инет миную шлюз.
Для каждой из школ выделено определенной количество ip адресов. Один из адресов использую для внешнего интерфейса шлюза, второй интерфейс которого смотрит во внутренную сеть и раздает автоматом ip и dns. При выборе ip адреса автоматически на рабочей станции я хожу в инет через шлюз. Для того чтоб выходить в инет миную шлюз прописываю в настройках сетевой рабочей станции один из множества ip выделенных школе.

[fisher74]

Для того чтоб выходить в инет миную шлюз прописываю в настройках сетевой рабочей станции один из множества ip выделенных школе.

У Вас весь этот огород в коммутаторе чтоль соединён???

[Sergikjan]

да все провода в одном коммутаторе, чтоб физически сеть разделить на внешнюю и внутреннюю нужно решить вопросы поставленные в этой теме.

[fisher74]

вот результат через шлюз

Мне кажется это не "через шлюз" а тест с самого шлюза. Хотя... У Вас на машине с которой тест идёт тоже что-ли dnsmaq устанлен?

А что там с интерфейсами и правилами на шлюзе?

Код: [Выделить]

ifconfig -a
route -n
sudo iptables-saveТолько сильно не паранойте.

[Sergikjan]

Мне кажется это не "через шлюз" а тест с самого шлюза. Хотя... У Вас на машине с которой тест идёт тоже что-ли dnsmaq устанлен?

Тест проводил на рабочей машине и dnsmaq на нем не установлен.
Пользователь решил продолжить мысль 28 Марта 2014, 10:01:22:

А что там с интерфейсами и правилами на шлюзе?

Код: [Выделить]

ifconfig -a
route -n
sudo iptables-save

Вот результат
eth0 - внешний eth1 - внутренний

(Нажмите, чтобы показать/скрыть)

> ifconfig –a

eth0      Link encap:Ethernet  HWaddr 94:de:80:03:52:86 
          inet addr:10.26.34.99  Bcast:10.26.34.255  Mask:255.255.255.0
          inet6 addr: fe80::96de:80ff:fe03:5286/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:618315 errors:0 dropped:0 overruns:0 frame:0
          TX packets:605347 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:667846977 (667.8 MB)  TX bytes:159469344 (159.4 MB)
          Interrupt:53 Base address:0xa000

eth1      Link encap:Ethernet  HWaddr 00:07:e9:12:04:b5 
          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::207:e9ff:fe12:4b5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:512521 errors:0 dropped:0 overruns:0 frame:0
          TX packets:811220 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:56791283 (56.7 MB)  TX bytes:621030223 (621.0 MB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1289388 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1289388 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1016048727 (1.0 GB)  TX bytes:1016048727 (1.0 GB)


> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.26.34.97     0.0.0.0         UG    100    0        0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.26.34.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0

> sudo iptables-save
# Generated by iptables-save v1.4.12 on Fri Mar 28 09:52:42 2014
*nat
:PREROUTING ACCEPT [54583:3957412]
:INPUT ACCEPT [41051:2881897]
:OUTPUT ACCEPT [163411:10107165]
:POSTROUTING ACCEPT [163411:10107165]
-A PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.1:8081
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 28 09:52:42 2014
# Generated by iptables-save v1.4.12 on Fri Mar 28 09:52:42 2014
*filter
:INPUT ACCEPT [1063812:702051039]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2699666:1777087195]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Mar 28 09:52:42 2014

Правила форума

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тега [spоiler]...[/spоiler], либо прикреплять к сообщению в виде отдельного файла.

Почему игнорируете предупреждения? Надеюсь это не повторится.
--peregrine

[fisher74]

1. Предлагаю попробовать исключить кальмара из цепочки

Код: [Выделить]

sudo iptables -d PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.1:8081и проверить "скорострельность"
2. Заменить озвученное в (1) правило на менее нагружающее ядро

Код: [Выделить]

sudo iptables -A PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
P.S. поправьте открывающий тег спойлера (уберите слеш)
Пользователь решил продолжить мысль 28 Марта 2014, 10:56:45:Я в кальмаровых конфигах не гуру, но недавно была темка, что неправильные правила могут сильно затормозить кальмара. Может тоже покажете? Может я что увижу, а может кальмароводы подтянутся и ткнут носом

[Sergikjan]

1. Предлагаю попробовать исключить кальмара из цепочки

Код: [Выделить]

sudo iptables -d PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.1:8081и проверить "скорострельность"
2. Заменить озвученное в (1) правило на менее нагружающее ядро

Код: [Выделить]

sudo iptables -A PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081

ошибку выдает версия iptables v1.4.12: multiple -d flags not allowed. Описания флагов версии 1.4.12 надо поискать. И еще у меня на порту 8081 работает Dansguardian, а кальмар работает на 3128. Как будет работать система если внести эти поправки в правилах?

[fisher74]

Первая -D большая

Код: [Выделить]

sudo iptables -D PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.1:8081
Эта поправка полностью удаляет редирект на Dansguardian, а следующая возвращает его, но другим методом, более правильным для Вашей ситуации

[Sergikjan]

1. Предлагаю попробовать исключить кальмара из цепочки

Код: [Выделить]

sudo iptables -d PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.1:8081и проверить "скорострельность"
2. Заменить озвученное в (1) правило на менее нагружающее ядро

Код: [Выделить]

sudo iptables -A PREROUTING ! -d 10.10.10.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081

Через командную строку так и не получилось внести изменения. Заменил правило в файле, вроде работает. Заработал ssl, но некорректно. В частности не закрывает сессию ssl. При выходе из почтового ящика висит страница и не выходит. На счет скорости кажется есть прогресс.