Снова iptables, все ли правильно?

[Valan]

Дано: ПК (шлюз) 3 сет. интерфейса
Wlan+ - 192.168.0.0/24 – локальная сеть за роутером  (тут есть выход в интернет)
Tun+ - 10.201.0.0/16 – локал-ая сеть за Впн сервером (выход в мир через ВПН1)
Eth0 - 192.168.128.0/24 – внутренняя сеть
+ На шлюзе установлен прокси  допустим на 6667 порту.

P.s. Клиентам в локальной сети (192.168.128.0/24) интернет посредством NAT не нужен. Будем раздавать им интернет посредством подключения к другому ВПН2 серверу, через прокси на шлюзе.
Возникает ощущение, что интернет на машинах в сети (192.168.128.0/24) полученный путем подключения к  серверу ВПН2 через прокси 6667 работает, но с “подвисанием”.  Без правил быстрее страницы грузятся… Может кто знает, где собака зарыта?
Устанавливаю следующие правила на шлюзе, что не верно, что добавить?:

(Нажмите, чтобы показать/скрыть)

#Запретить все входящие и проходящие, разрешить исходящие:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
---------
#Цепочка входящие:

#Разрешить входящие ( пакеты с состоянием NEW) на инт. об. петли:
iptables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT

#Аналогично предыдыщему правилу только на интерфейс wlan+:
iptables -A INPUT -i wlan+ -m conntrack --ctstate NEW -j ACCEPT

#Аналогично предыдыщему правилу только на интерфейс tun+:
iptables -A INPUT -i tun+ -m conntrack --ctstate NEW -j ACCEPT

#Разрешить эхо-запрос, эхо-ответ:
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#Разрешаем входящие в ответ на уже установленные соединения:
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

#Разрешаем входящие на 6667 порт со стороны локальной сети (192.168.128.0/24):

iptables -A INPUT -i eth0 -s 192.168.128.0/24 -p TCP --dport 6667 -j ACCEPT
--------
#Запрещаем обращение из локальной сети к нашему хосту:
iptables -A INPUT -i wlan+ -s 192.128.0.0/24 -j REJECT
-----
#Запрещаем обращение из локальной сети (за VPN сервером) к нашему хосту:
iptables -A INPUT -i tun+ -s 10.201.0.0/16 -j REJECT
-----

[AnrDaemon]

Правил не вижу. Вижу скрипт, который в них что-то добавляет.
Покажите iptables-save - будем посмотреть.

[Valan]

Правил не вижу. Вижу скрипт, который в них что-то добавляет.
Покажите iptables-save - будем посмотреть.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Sun Mar 29 01:49:56 2015
*mangle
:PREROUTING ACCEPT [115:7545]
:INPUT ACCEPT [115:7545]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [115:7545]
:POSTROUTING ACCEPT [116:7618]
COMMIT
# Completed on Sun Mar 29 01:49:56 2015
# Generated by iptables-save v1.4.21 on Sun Mar 29 01:49:56 2015
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [54:3622]
:POSTROUTING ACCEPT [54:3622]
COMMIT
# Completed on Sun Mar 29 01:49:56 2015
# Generated by iptables-save v1.4.21 on Sun Mar 29 01:49:56 2015
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [27:1889]
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i wlan+ -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i tun+ -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.128.0/24 -i eth0 -p tcp -m tcp --dport 6667 -j ACCEPT
-A INPUT -s 192.128.0.0/24 -i wlan+ -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 10.201.0.0/16 -i tun+ -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Mar 29 01:49:56 2015

[AnrDaemon]

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

первым поставьте.

[Valan]

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

первым поставьте.

Спасибо, за совет. Можно узнать причину, почему его нужно первым ставить? Хотелось бы все таки разбираться...

[AnrDaemon]

Поиск по форуму справа вверху страницы.