Форум русскоязычного сообщества Ubuntu


Автор Тема: iptables + nat (долго грузятся страницы)  (Прочитано 1389 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн FoLk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
iptables + nat (долго грузятся страницы)
« : 28 Ноябрь 2013, 09:17:56 »
Перечитал уже много форумов, менял значения MTU. Не знаю уже куда копать...
Новые страницы (которые не кешированны) долго грузятся (8-15 сек)
Дело не в интернете, до этого стоял роутер, который понадобилось заменить пришло решение поднять нат.
В сетке около 60-100 компов + терминальщики


Так выглядит на данное время iptables:

(Нажмите, чтобы показать/скрыть)

ifconfig:
(Нажмите, чтобы показать/скрыть)
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 92.50.***.***
        netmask 255.255.255.252
        gateway 92.50.***.***
        mtu 1500
#
auto eth1
iface eth1 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        gateway 192.168.1.1
        broadcast 192.168.1.255
        mtu 1500

(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 28 Ноябрь 2013, 09:33:53 от FoLk »

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: iptables + nat (долго грузятся страницы)
« Ответ #1 : 28 Ноябрь 2013, 09:21:39 »
Шлюз:
ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save
Клиент:
ip a ; ip r ; nslookup ya.ru ; nslookup ya.ru 8.8.8.8 ; tracepath ya.ru

Оффлайн FoLk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #2 : 28 Ноябрь 2013, 09:24:38 »
ip a:

(Нажмите, чтобы показать/скрыть)
sysctl net.ipv4.ip_forward:
(Нажмите, чтобы показать/скрыть)

(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 28 Ноябрь 2013, 09:26:57 от FoLk »

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: iptables + nat (долго грузятся страницы)
« Ответ #3 : 28 Ноябрь 2013, 09:25:34 »
FoLk, целиком одной строкой выполните и скопипастите сюды, плиз.

Оффлайн FoLk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #4 : 28 Ноябрь 2013, 09:30:37 »
Шлюз:
(Нажмите, чтобы показать/скрыть)

Client:
(Нажмите, чтобы показать/скрыть)

Над корявыми блокировками не смейтесь)) нужно было срочно сделать... что нагуглил сразу поставил)
« Последнее редактирование: 28 Ноябрь 2013, 09:33:21 от FoLk »

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: iptables + nat (долго грузятся страницы)
« Ответ #5 : 28 Ноябрь 2013, 09:36:23 »
На клиенте, как я понял, венды.
Тогда там же ещё вот:
ipconfig /all & route print

Оффлайн FoLk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #6 : 28 Ноябрь 2013, 09:39:56 »
C:\Users\Vlad>ipconfig /all & route print

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : Vlad_PC
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети 2:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-FC-DA-C3-B5
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::b032:2b19:afdc:9806%13(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.199.1.4(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :
   IAID DHCPv6 . . . . . . . . . . . : 318832636
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-08-EF-BE-08-60-6E-67-9E-D

   DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 08-60-6E-67-9E-D2
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::a954:3e3e:31be:5cec%11(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.22(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   IAID DHCPv6 . . . . . . . . . . . : 235429998
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-08-EF-BE-08-60-6E-67-9E-D

   DNS-серверы. . . . . . . . . . . : 192.168.1.7
   NetBios через TCP/IP. . . . . . . . : Включен
===========================================================================
Список интерфейсов
 13...00 ff fc da c3 b5 ......TAP-Win32 Adapter V9
 11...08 60 6e 67 9e d2 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.22    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.22    276
     192.168.1.22  255.255.255.255         On-link      192.168.1.22    276
    192.168.1.255  255.255.255.255         On-link      192.168.1.22    276
      192.199.1.0    255.255.255.0         On-link       192.199.1.4    286
      192.199.1.4  255.255.255.255         On-link       192.199.1.4    286
    192.199.1.255  255.255.255.255         On-link       192.199.1.4    286
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.22    276
        224.0.0.0        240.0.0.0         On-link       192.199.1.4    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.22    276
  255.255.255.255  255.255.255.255         On-link       192.199.1.4    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.1.1  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 11    276 fe80::/64                On-link
 13    286 fe80::/64                On-link
 11    276 fe80::a954:3e3e:31be:5cec/128
                                    On-link
 13    286 fe80::b032:2b19:afdc:9806/128
                                    On-link
  1    306 ff00::/8                 On-link
 11    276 ff00::/8                 On-link
 13    286 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Users\Vlad>

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27660
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #7 : 28 Ноябрь 2013, 09:53:35 »
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Ошибка.
Должно быть
-A POSTROUTING -o $INET_IFACE -j MASQUERADE
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн FoLk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #8 : 28 Ноябрь 2013, 10:05:12 »
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Ошибка.
Должно быть
-A POSTROUTING -o $INET_IFACE -j MASQUERADE

У меня вообще такого нету:
#NAT
#Должен быть включен ip forwarding
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/28 -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE iptables -A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT

Что нужно подправить?
« Последнее редактирование: 28 Ноябрь 2013, 10:10:55 от FoLk »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27660
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #9 : 28 Ноябрь 2013, 10:14:58 »
Понятия не имею, я вам не онлайн-интерпретатор скриптов.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: iptables + nat (долго грузятся страницы)
« Ответ #10 : 28 Ноябрь 2013, 10:19:21 »
А меня ещё настораживают таймауты DNS-ответов и IPv6 DNS-серверы в настройках подключения клиента.
И дублирование правил iptables — тоже ничего хорошего.
« Последнее редактирование: 28 Ноябрь 2013, 10:24:31 от ArcFi »

Оффлайн FoLk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #11 : 28 Ноябрь 2013, 10:27:56 »
доменный сервер на венде, со старым роутером работал без проблем.
Походу дошло до меня
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

эта строка со старых правил запущенна была, похоже с ней проблема..

Оффлайн Kost

  • Новичок
  • *
  • Сообщений: 29
  • UNIX the power to set your computer free
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #12 : 29 Ноябрь 2013, 19:44:31 »
Задержки при запросе новых страниц очень часто связаны с ожиданием ответа от DNS сервера.
Посмотрите, что у вас стоит первой стройкой с параметром nameserver в /etc/resolv.conf
Вот почему то уверен что так

nameserver 127.0.0.1
nameserver IP_вашег_win_сервера

От сюда и ожидание.
Ну и попробуйте на время выставить сервера от google (nameserver 8.8.8.8) первым и выполнить команду

dig ya.ru
Посмотрите отклик.

Пользователь решил продолжить мысль 29 Ноябрь 2013, 19:52:22:
ЗЫ
И куда же смотрит DNS сервер на win машине? Уж не на роутер ли, который вы убрали )))
« Последнее редактирование: 29 Ноябрь 2013, 19:53:20 от Kost »
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27660
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #13 : 29 Ноябрь 2013, 20:11:59 »
Зачем что-то выставлять, если можно покопать напрямую на конкретном сервере?

dig [@address] name. [type]
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн FoLk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: iptables + nat (долго грузятся страницы)
« Ответ #14 : 02 Декабрь 2013, 09:40:20 »
Задержки при запросе новых страниц очень часто связаны с ожиданием ответа от DNS сервера.
Посмотрите, что у вас стоит первой стройкой с параметром nameserver в /etc/resolv.conf
Вот почему то уверен что так

nameserver 192.168.1.7
nameserver 192.168.1.8
search ufaman.ru

Цитировать
И куда же смотрит DNS сервер на win машине? Уж не на роутер ли, который вы убрали )))
Реально! Большое спасибо, на днях попробую посмотреть видимо из за этого!



Пользователь решил продолжить мысль 02 Декабрь 2013, 13:06:51:
Kost, Да вы правы, прежний админ настроил DNS на старый роутер... А я голову чуть не сломал. Теперь все быстро грузится и можно настраивать все как угодно! Большое вам спасибо!
« Последнее редактирование: 02 Декабрь 2013, 13:06:51 от FoLk »

 

Страница сгенерирована за 0.092 секунд. Запросов: 25.