Низкая скорость интернета в локалке за роутером iptables ping

[AnrDaemon]

Для начала попробовать добавить подбивку MSS к PMTU.
Вообще, лучше не traceroute а tracepath показывать. Больше полезной информации.

[winmasta]

Код: [Выделить]

-A OUTPUT -o eth2 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu
так ? все таки какие значения поставить ?

[AnrDaemon]

Вообще убрать.

[winmasta]

Вообще убрать.

Код: [Выделить]

-A OUTPUT -o eth2 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss -j TCPMSS --clamp-mss-to-pmtu так ?

[AnrDaemon]

1. mangle (надеюсь, очевидно, почему)
2. FORWARD же ж...
Нафига вам OUTPUT править, который и так нормально работает?

[RedBeard]

(Скромненько так.) А шлюзовой комп больше ничем не занят? А то у нас, в России, если тумба, как им кажется, без дела стоит - то надо его к чему-то приспособить! Слава святому Исидору, в моей конторе на сервер никто не посягает!

[winmasta]

1. mangle (надеюсь, очевидно, почему)
2. FORWARD же ж...
Нафига вам OUTPUT править, который и так нормально работает?

все понял попробую
Пользователь решил продолжить мысль 20 Сентября 2012, 07:28:33:

(Скромненько так.) А шлюзовой комп больше ничем не занят? А то у нас, в России, если тумба, как им кажется, без дела стоит - то надо его к чему-то приспособить! Слава святому Исидору, в моей конторе на сервер никто не посягает!

пока нет, потом планируется инет серфинг и все, но комп достаточно мощный (i5) поэтому проблема точно не в этом
Пользователь решил продолжить мысль 20 Сентября 2012, 12:44:32:не помогло, будут еще мысли ?

iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Thu Sep 20 15:44:18 2012
*mangle
:PREROUTING ACCEPT [3:112]
:INPUT ACCEPT [3:112]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:104]
:POSTROUTING ACCEPT [2:104]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Sep 20 15:44:18 2012
# Generated by iptables-save v1.4.12 on Thu Sep 20 15:44:18 2012
*nat
:PREROUTING ACCEPT [2:60]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth2 -j SNAT --to-source 195.208.161.154
COMMIT
# Completed on Thu Sep 20 15:44:18 2012
# Generated by iptables-save v1.4.12 on Thu Sep 20 15:44:18 2012
*filter
:INPUT DROP [2:60]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2:104]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m multiport --dports 3128 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports 3128 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m multiport --dports 53,123 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m multiport --dports 53,123 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "NEW not SYN: "
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
COMMIT
# Completed on Thu Sep 20 15:44:18 2012

[winmasta]

Все еще актуально
Пользователь решил продолжить мысль 26 Сентября 2012, 13:22:36:сейчас вот в конторе потестил скорость на всех машинах одинаковая (win linux) а в новом офисе ограничивается хотя правила iptables одни и те же

[olegik-hp]

Не скромный вопрос...

А Вы пробовали убрать из правил iptables все, что может ограничивать, те оставить только форвард и померить скорость?

Может быть проблема не iptables?

[winmasta]

Не скромный вопрос...

А Вы пробовали убрать из правил iptables все, что может ограничивать, те оставить только форвард и померить скорость?

Может быть проблема не iptables?

конечно пробовал, я не утверждаю что проблема именно там, хочется понять где

[winmasta]

методом тыка нашел что узкое место скорее всего свитч, на другом свитче все в порядке, только опять-же не могу понять как такое может быть

[xeon_greg]

методом тыка нашел что узкое место скорее всего свитч, на другом свитче все в порядке, только опять-же не могу понять как такое может быть

ошибки при передаче, потери пакетов, может надо просто было провода в switch подергать, а может еще он глюкнул, железо все-таки, имеет свойство ломаться

[winmasta]

методом тыка нашел что узкое место скорее всего свитч, на другом свитче все в порядке, только опять-же не могу понять как такое может быть

ошибки при передаче, потери пакетов, может надо просто было провода в switch подергать, а может еще он глюкнул, железо все-таки, имеет свойство ломаться

слишком стабильные поломки получаются, сам то он работает но вот скорость режет, причем стабильно вот такой свитч
http://www.asus.com/Networks/Wired_Routers_Switches/GX1008B/
я думаю может там что-то связано с ВИП портом

[xeon_greg]

свич co встроенным qos и flow control , думаю его qos основывается на tos поле пакета, хотя хз как там асусовцы решили приоритезировать трафик, а вот по каким критериям они осуществляют flow control ... думаю все бочина как раз в этом, а vip порт только и того что имеет приоритет по трафику перед остальными портами

[winmasta]

свич co встроенным qos и flow control , думаю его qos основывается на tos поле пакета, хотя хз как там асусовцы решили приоритезировать трафик, а вот по каким критериям они осуществляют flow control ... думаю все бочина как раз в этом, а vip порт только и того что имеет приоритет по трафику перед остальными портами

все понятно, надо брать нормальные свитчи )