Автор Тема: Низкая скорость интернета в локалке за роутером iptables ping (Прочитано 3890 раз)

winmasta · « : 25 Октября 2011, 13:19:33 »

Есть роутер который раздает интернет в локалку посредством iptables, скорость на самом роутер как и должна быть, а на локальных машинах меньше в 6-7 раз и пинг тяжелее, что можно посмотреть ?

nucleon · « **Ответ #1 :** 25 Октября 2011, 13:26:42 »

вывод iptables-save в студию
+ конфигурацию компа-шлюза
+ для проверки проверить интернет на локальном ПК без антивируса.

winmasta · « **Ответ #2 :** 25 Октября 2011, 13:37:42 »

iptables-save

(Нажмите, чтобы показать/скрыть)

конфигурация роутера
ОС - Ubuntu Desktop 10.04.3 (ядро 2.6.32-34)
ЦП - Intel Core i5-2400
Память - 4 ГБ
HDD - SDD 60 ГБ

на локальном ПК нет антивируса (Ubuntu)

xeon_greg · « **Ответ #3 :** 25 Октября 2011, 14:14:30 »

Цитировать

-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu

это еще зачем?

Цитировать

--mss 1357:65535

достаточно 1400:1536
вы вод iptables лучше показывать

Код: [Выделить]

sudo iptables-save -cподк конфигурацией имеется в виду, ifconfig, ip route, топология сети, к какому интерфейсу что подключено.. но так навскидку в правилах - мрак, зачем дропать OUTPUT?

nucleon · « **Ответ #4 :** 25 Октября 2011, 14:28:58 »

в место DROP иcпользуй REJECT

пакеты попадающие под правило DROP умирают по таймауту... зачем столько ждать

winmasta · « **Ответ #5 :** 25 Октября 2011, 14:58:22 »

Цитата: xeon_greg от 25 Октября 2011, 14:14:30

-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu

без этого ppp0 постоянно падал, исправлю на 1400:1536 (старые цифры кстати нашел на этом форуме)

sudo iptables-save -c

(Нажмите, чтобы показать/скрыть)

зачем дропать OUTPUT

если про это
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
то как поступить сменить на REJECT или убрать правило совсем ? (iptables делал из примера одного очень известного руководства)

ifconfig

(Нажмите, чтобы показать/скрыть)

eth0 - локалка eth1 - wan ppp0 - интернет

ip route

(Нажмите, чтобы показать/скрыть)

прописаны роуты в wan чтобы не ходить туда через ppp (скорость падает в wan в том числе)

топология звезда есс-но Zyxel ES-116S

xeon_greg · « **Ответ #6 :** 25 Октября 2011, 16:40:04 »

Цитата: winmasta от 25 Октября 2011, 14:58:22

Цитата: xeon_greg от 25 Октября 2011, 14:14:30
-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu
без этого ppp0 постоянно падал, исправлю на 1400:1536 (старые цифры кстати нашел на этом форуме)

для корректной работы транзитного инета достаточно только правила в форварде

Код: [Выделить]

-t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

Цитата: winmasta от 25 Октября 2011, 14:58:22

Цитата: xeon_greg от 25 Октября 2011, 14:14:30
зачем дропать OUTPUT
если про это
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
то как поступить сменить на REJECT или убрать правило совсем ? (iptables делал из примера одного очень известного руководства)

правила из известных руководств, стоит брать если ты понимаешь их назначение, и хорошо разбираешься в iptables, а не просто копировать и потом спрашивать почему не работает.
на начальном этапе, пока не будешь хорошо себе представлять, как работает iptables, OUTPUT советую совсем не трогать, те (политика ACCEPT), ограничится стандартным маскарадом ну и пробросом некторых портов, если это действительно необходимо, иначе, чувствую, что этой теме конца не будет. ну и блокировать "неугодных одноклассников", если это как-то напрягает

winmasta · « **Ответ #7 :** 26 Октября 2011, 12:40:56 »

Цитата: xeon_greg от 25 Октября 2011, 16:40:04

Цитата: winmasta от 25 Октября 2011, 14:58:22
Цитата: xeon_greg от 25 Октября 2011, 14:14:30
-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu
без этого ppp0 постоянно падал, исправлю на 1400:1536 (старые цифры кстати нашел на этом форуме)
для корректной работы транзитного инета достаточно только правила в форварде
Код: [Выделить]
-t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
Цитата: winmasta от 25 Октября 2011, 14:58:22
Цитата: xeon_greg от 25 Октября 2011, 14:14:30
зачем дропать OUTPUT
если про это
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
то как поступить сменить на REJECT или убрать правило совсем ? (iptables делал из примера одного очень известного руководства)
правила из известных руководств, стоит брать если ты понимаешь их назначение, и хорошо разбираешься в iptables, а не просто копировать и потом спрашивать почему не работает.
на начальном этапе, пока не будешь хорошо себе представлять, как работает iptables, OUTPUT советую совсем не трогать, те (политика ACCEPT), ограничится стандартным маскарадом ну и пробросом некторых портов, если это действительно необходимо, иначе, чувствую, что этой теме конца не будет. ну и блокировать "неугодных одноклассников", если это как-то напрягает

на машине-роутере тоже нужен интрнет поэтому это правило

-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu

есть, без него разрывается ppp

Пользователь решил продолжить мысль 26 Октября 2011, 12:45:23:

убрал дроп из аутпута, вроде бы проблема ушла (не уверен, надо подольше потестить)
теперь iptables такого вида

(Нажмите, чтобы показать/скрыть)

может быть еще что-то можно оптимизировать ?

xeon_greg · « **Ответ #8 :** 26 Октября 2011, 13:04:02 »

Цитировать

-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu

есть, без него разрывается ppp

никакого отношения не имеет к разрывам ppp интерфейса. и для работы инета на шлюзе оно не нужно.

Пользователь решил продолжить мысль 26 Октября 2011, 13:31:29:

Цитировать

ppp0 Link encap:Протокол PPP (Point-to-Point Protocol)
inet addr:213.210.92.207 P-t-P:217.18.130.200 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500

а в таком случае и в форварде оно не нужно. кстати откуда такое значение ? сам выставил ?

winmasta · « **Ответ #9 :** 26 Октября 2011, 13:47:43 »

Цитата: xeon_greg от 26 Октября 2011, 13:04:02

Цитировать
-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu

есть, без него разрывается ppp
никакого отношения не имеет к разрывам ppp интерфейса. и для работы инета на шлюзе оно не нужно.
Пользователь решил продолжить мысль 26 Октября 2011, 13:31:29:
Цитировать
ppp0 Link encap:Протокол PPP (Point-to-Point Protocol)
inet addr:213.210.92.207 P-t-P:217.18.130.200 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500
а в таком случае и в форварде оно не нужно. кстати откуда такое значение ? сам выставил ?

1500 встало по умолчанию
без этих правил раньше ппп отваливался быстро, сейчас опять протестирую без них

Пользователь решил продолжить мысль 26 Октября 2011, 13:51:00:

убрал правило из аутпута - вроде работает

Пользователь решил продолжить мысль 26 Октября 2011, 14:00:04:

убрал из форварда - работает, странно, раньше рвалось все время, решал только этим правилом ... хм

а по остальным правилам как - в порядке или есть ненужные движения ?

xeon_greg · « **Ответ #10 :** 26 Октября 2011, 14:06:24 »

если раньше MTU было другое, то конечно транзит отваливался бы , раз такое дело, что сам не трогал, то в форвард пожалуй верни, а то вдруг опять потом изменится в меньшую сторону...и будут затыки.. в аутпут - не надо, оно там не нужно вообще.

winmasta · « **Ответ #11 :** 26 Октября 2011, 14:22:48 »

Цитата: xeon_greg от 26 Октября 2011, 14:06:24

если раньше MTU было другое, то конечно транзит отваливался бы , раз такое дело, что сам не трогал, то в форвард пожалуй верни, а то вдруг опять потом изменится в меньшую сторону...и будут затыки.. в аутпут - не надо, оно там не нужно вообще.

MTU раньше был меньше ибо я ствил его вручную - опять же боролся с разрывами, теперь по дефолту 1500 встает и не рвется, я думаю весь косяк был в том, что раньше я на АДСЛ сидел а сейчас на оптику переехал

xeon_greg · « **Ответ #12 :** 26 Октября 2011, 14:49:09 »

по остальным правилам - тебе видней что тебе нужно и каких результатов хочешь получить, раз OUTPUT - ACCEPT, то все правила его касающиеся можно смело убрать .

winmasta · « **Ответ #13 :** 27 Октября 2011, 08:22:11 »

Цитата: xeon_greg от 26 Октября 2011, 14:49:09

по остальным правилам - тебе видней что тебе нужно и каких результатов хочешь получить, раз OUTPUT - ACCEPT, то все правила его касающиеся можно смело убрать .

это понятно, НО безопасно ли ACCEPT ?

winmasta

Добрый день друзья. Снова получил таку же проблему собрав второй роутер в другой сети с другим провайдером.

ipconfig-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Wed Sep 19 18:04:06 2012
*mangle
:PREROUTING ACCEPT [14724:14648795]
:INPUT ACCEPT [13133:13777818]
:FORWARD ACCEPT [1591:870977]
:OUTPUT ACCEPT [11585:13566853]
:POSTROUTING ACCEPT [13176:14437830]
COMMIT
# Completed on Wed Sep 19 18:04:06 2012
# Generated by iptables-save v1.4.12 on Wed Sep 19 18:04:06 2012
*nat
:PREROUTING ACCEPT [98:4943]
:INPUT ACCEPT [27:1683]
:OUTPUT ACCEPT [119:7342]
:POSTROUTING ACCEPT [30:1880]
-A POSTROUTING -o eth2 -j SNAT --to-source 195.208.161.154
COMMIT
# Completed on Wed Sep 19 18:04:06 2012
# Generated by iptables-save v1.4.12 on Wed Sep 19 18:04:06 2012
*filter
:INPUT DROP [40:1648]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [11585:13566853]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m multiport --dports 3128 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports 3128 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m multiport --dports 53,123 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m multiport --dports 53,123 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "NEW not SYN: "
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
COMMIT
# Completed on Wed Sep 19 18:04:06 2012

ifconfig

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 84:c9:b2:46:f6:65  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::86c9:b2ff:fe46:f665/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:17810 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18713 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:8325928 (8.3 MB)  TX bytes:22366978 (22.3 MB)
          Interrupt:16 Base address:0x2000 

eth1      Link encap:Ethernet  HWaddr 54:04:a6:de:7d:1c  
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::5604:a6ff:fede:7d1c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4231 errors:0 dropped:0 overruns:0 frame:0
          TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:279370 (279.3 KB)  TX bytes:11846 (11.8 KB)
          Interrupt:17 Base address:0xe000 

eth2      Link encap:Ethernet  HWaddr bc:5f:f4:1c:25:99  
          inet addr:195.208.161.154  Bcast:195.208.161.255  Mask:255.255.254.0
          inet6 addr: fe80::be5f:f4ff:fe1c:2599/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:177234 errors:0 dropped:0 overruns:0 frame:0
          TX packets:106402 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:182174914 (182.1 MB)  TX bytes:70439859 (70.4 MB)
          Interrupt:45 Base address:0xa000 

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:7122 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7122 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1960477 (1.9 MB)  TX bytes:1960477 (1.9 MB)

ip route

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

default via 195.208.160.1 dev eth2  proto static 
169.254.0.0/16 dev eth1  scope link  metric 1000 
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.100  metric 1 
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.1  metric 1 
195.208.160.0/23 dev eth2  proto kernel  scope link  src 195.208.161.154  metric 1

eth0 и eth1 локальные сети, eth2 интернет. На шлюзе скорость 96 мбит/сек, на машине из сети 192.168.1.0
скорость 6 мбит (данные speedtest.net мерил несколько раз в разное время - один и тот же результат)

трассировка до ya.ru со шлюза

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

traceroute to ya.ru (87.250.251.3), 30 hops max, 60 byte packets
 1  core-sw-bbn.net-com.su (195.208.163.1)  0.567 ms  1.017 ms  1.197 ms
 2  border-1-bbn.net-com.su (195.208.163.2)  0.309 ms  0.313 ms  0.305 ms
 3  ge5-1-503.tmk253br.ll-tmk.zsttk.ru (82.200.72.241)  0.648 ms  0.668 ms  0.722 ms
 4  tmk01.transtelecom.net (217.150.37.162)  1.010 ms  1.021 ms  0.995 ms
 5  msk02.transtelecom.net (217.150.60.30)  44.567 ms  44.593 ms  44.633 ms
 6  Yandex-gw.transtelecom.net (217.150.60.29)  44.900 ms  44.928 ms  44.626 ms
 7  core-ugr-vlan901.yandex.net (77.88.56.126)  46.606 ms  46.694 ms  46.455 ms
 8  l3-s900-s3000.yandex.net (213.180.213.4)  46.048 ms  46.016 ms  45.944 ms
 9  l3-s3200-s3000.yandex.net (213.180.213.11)  135.614 ms  135.618 ms  135.595 ms
10  www.yandex.ru (87.250.251.3)  45.494 ms  45.939 ms  45.575 ms

трассировка до ya.ru с 192.168.1.2

(Нажмите, чтобы показать/скрыть)

подскажите куда копать ?

Форум русскоязычного сообщества Ubuntu

Автор Тема: Низкая скорость интернета в локалке за роутером iptables ping (Прочитано 3890 раз)

winmasta

Низкая скорость интернета в локалке за роутером iptables ping

nucleon

Re: Низкая скорость интернета в локалке за роутером iptables

winmasta

Re: Низкая скорость интернета в локалке за роутером iptables

xeon_greg

Re: Низкая скорость интернета в локалке за роутером iptables

nucleon

Re: Низкая скорость интернета в локалке за роутером iptables

winmasta

Re: Низкая скорость интернета в локалке за роутером iptables

xeon_greg

Re: Низкая скорость интернета в локалке за роутером iptables

winmasta

Re: Низкая скорость интернета в локалке за роутером iptables

xeon_greg

Re: Низкая скорость интернета в локалке за роутером iptables

winmasta

Re: Низкая скорость интернета в локалке за роутером iptables

xeon_greg

Re: Низкая скорость интернета в локалке за роутером iptables

winmasta

Re: Низкая скорость интернета в локалке за роутером iptables

xeon_greg

Re: Низкая скорость интернета в локалке за роутером iptables

winmasta

Re: Низкая скорость интернета в локалке за роутером iptables

winmasta

Re: Низкая скорость интернета в локалке за роутером iptables