Тормозит инет на клиентах сети

[Nuka]

Настроил раздачу инета таким вот способом.
1.Поднял интерфей для локалки ifconfig eth0 192.168.1.1 up
Поставил днсмаск прописал интерфейс и диапазон.
Компы получили ай пи адреса.

2.Прописал айпи4форвард=1

3. Установил ipmasq и вычитал команду sudo dpkg-reconfigure ipmasq

Теперь инет вроде есть но жутко тормозит в контакте не обще не показываються фотки, не прослушать ничего. Но вот Гугл работает нормально в поиске набереш найдет, а вот передти по ссылке никак... Маил ру показывает заголовок а страницу не открывает..... такое ощущение что большие сайте не открывает а только маленькие =) 

Пользователь решил продолжить мысль 24 Апреля 2009, 22:27:40:вывод ipmasq

Код: [Выделить]

nuka@elibuntu:/usr/local/madwimax/sbin$ sudo ipmasq -v
#: Interfaces found:                                 
-e #:   wimax0  94.25.242.64/255.255.252.0           
-e #:   wimax0  94.25.242.64/255.255.252.0           
-e #:   eth0    192.168.1.1/255.255.255.0             
echo "0" > /proc/sys/net/ipv4/ip_forward             
/sbin/iptables -P INPUT DROP                         
/sbin/iptables -P OUTPUT DROP                         
/sbin/iptables -P FORWARD DROP                       
/sbin/iptables -F INPUT                               
/sbin/iptables -F OUTPUT                             
/sbin/iptables -F FORWARD                             
/sbin/iptables -t mangle -P PREROUTING ACCEPT         
/sbin/iptables -t mangle -P OUTPUT ACCEPT             
/sbin/iptables -t mangle -F PREROUTING               
/sbin/iptables -t mangle -F OUTPUT                   
/sbin/iptables -t nat -P PREROUTING ACCEPT           
/sbin/iptables -t nat -P POSTROUTING ACCEPT           
/sbin/iptables -t nat -P OUTPUT ACCEPT               
/sbin/iptables -t nat -F PREROUTING                   
/sbin/iptables -t nat -F POSTROUTING                 
/sbin/iptables -t nat -F OUTPUT
/sbin/iptables -A INPUT -j ACCEPT -i lo
/sbin/iptables -A INPUT -j LOG -i ! lo -s 127.0.0.1/255.0.0.0
/sbin/iptables -A INPUT -j DROP -i ! lo -s 127.0.0.1/255.0.0.0
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -d 255.255.255.255/32
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -s 192.168.1.1/255.255.255.0
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -d 224.0.0.0/4 -p ! 6
/sbin/iptables -A INPUT -j LOG -i wimax0 -s 192.168.1.1/255.255.255.0
/sbin/iptables -A INPUT -j DROP -i wimax0 -s 192.168.1.1/255.255.255.0
/sbin/iptables -A INPUT -j ACCEPT -i wimax0 -d 255.255.255.255/32
/sbin/iptables -A INPUT -j ACCEPT -i wimax0 -d 94.25.242.64/32
/sbin/iptables -A INPUT -j ACCEPT -i wimax0 -d 94.25.243.255/32
/sbin/iptables -t nat -A POSTROUTING -o wimax0 -s 192.168.1.1/255.255.255.0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o wimax0 -s 192.168.1.1/255.255.255.0 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -j ACCEPT -o lo
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 255.255.255.255/32
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 192.168.1.1/255.255.255.0
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 224.0.0.0/4 -p ! 6
/sbin/iptables -A FORWARD -j LOG -o wimax0 -d 192.168.1.1/255.255.255.0
/sbin/iptables -A FORWARD -j DROP -o wimax0 -d 192.168.1.1/255.255.255.0
/sbin/iptables -A OUTPUT -j LOG -o wimax0 -d 192.168.1.1/255.255.255.0
/sbin/iptables -A OUTPUT -j DROP -o wimax0 -d 192.168.1.1/255.255.255.0
/sbin/iptables -A OUTPUT -j ACCEPT -o wimax0 -d 255.255.255.255/32
/sbin/iptables -A OUTPUT -j ACCEPT -o wimax0 -s 94.25.242.64/32
/sbin/iptables -A OUTPUT -j ACCEPT -o wimax0 -s 94.25.243.255/32
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A INPUT -j DROP -d 224.0.0.1
/sbin/iptables -A OUTPUT -j DROP -d 224.0.0.1
/sbin/iptables -A FORWARD -j DROP -d 224.0.0.1
/sbin/iptables -A INPUT -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A INPUT -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A OUTPUT -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A OUTPUT -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A FORWARD -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A FORWARD -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0


[thunderamur]

9.04 ?

Сломали раздачу инета в ней, млин 

====================================

моя ошибка - 9.04 в поряде!

[Siddkharta]

Не знаю, может немного не в тему. Но такие глюки обычно бывают не столько из-за "испорченности" тех или иных настроек в прогах, сколько из-за тривиально не проставленного ip tcp adjust-mss в конфиге входящего от локалки интерфейса. В линуксе с таким не сталкивался, а вот с Cisco такое сплошь и рядом. Симптоматика именно такая - некоторые сайты открываются, но большинство - нет. Лечится достаточно просто. На интерфейсе, смотрящем в локальную сеть проставляется  ip tcp adjust-mss 1300. В Линуксе наверняка такие же настройки есть...

[Nuka]

9.04 ?

Сломали раздачу инета в ней, млин 

Всмысле сломали.... это у всех так чтоли на 9.04

Не знаю, может немного не в тему. Но такие глюки обычно бывают не столько из-за "испорченности" тех или иных настроек в прогах, сколько из-за тривиально не проставленного ip tcp adjust-mss в конфиге входящего от локалки интерфейса. В линуксе с таким не сталкивался, а вот с Cisco такое сплошь и рядом. Симптоматика именно такая - некоторые сайты открываются, но большинство - нет. Лечится достаточно просто. На интерфейсе, смотрящем в локальную сеть проставляется  ip tcp adjust-mss 1300. В Линуксе наверняка такие же настройки есть...

А что это за пареметр и за что он отвечает? Вот вроде все параметры интерфейса (Это не тот на котором не работает это просто пример т.к. пишу из дома)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:22:15:47:96:2d
          inet addr:192.168.1.128  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::222:15ff:fe47:962d/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11081052 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8940699 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:1981869412 (1.9 GB)  TX bytes:1674585804 (1.6 GB)
          Прервано:251 Base address:0xe000

Какой поменять надо?

[Siddkharta]

Насколько я понимаю, делается это в Линуксе таким образом:

iptables -A FORWARD -p tcp -tcp-flags SYN,RST SYN -j TCPMSS -set-mss 1436

Про это сказано в короткой статейке:
http://xlabz.org/archives/294

[Nuka]

Насколько я понимаю, делается это в Линуксе таким образом:

iptables -A FORWARD -p tcp -tcp-flags SYN,RST SYN -j TCPMSS -set-mss 1436

Про это сказано в короткой статейке:
http://xlabz.org/archives/294

Я как понимаю это правило для пакетного фильтра интегрированного в ядро линукс.... Только вот у меня их что то очень много и я вних плохо понимаю (СМ перывй пост вывод ipmasq -v), можешь если не сложно прокомментировать это правило. Заранее спасибо 
В понедельник как приду на работу обязательно попробую
Пользователь решил продолжить мысль 25 Апреля 2009, 21:01:50:Как я понял из стать надо понизить МТУ на интерфейсе который смотрит в локалку??
Пользователь решил продолжить мысль 25 Апреля 2009, 23:12:54:А есть ли какой нибудь способ проследить как идут пакеты от машины с которой идет запрос как они проходят мой "СЭРВЭР" с Ubuntu и куда они потом уходят?

[Siddkharta]

Насколько я понимаю этот процесс - да, такое правило вешается (во всяком случае на муршрутизаторах Cisco) именно на внутренний интерфейс. Обычно для того чтобы проверить те или иные вещи я прежде всего с виндовой машины с помощью командной строки делаю pathping www.ru. Эта функция/программа не просто проходит все хопы до нужного адреса, а еще и меряет всякие пропажи по дороге. Почитай поподробнее на эту тему в Гугле. А по поводу строки в IpTables не могу более серьезного чего сказать. Дал совет покопать именно в эту сторону, потому что сталкивался с такой багой при подключении офисов к Интернету через маршрутизаторы Cisco. Больше про Циску знаю, так как с ней в основном работаю.

[Nuka]

Вобщем разобрался пока так. Прописал на клиентах МТУ поменьше и все ок, правило для айпи таблеса что то не заработало

Код: [Выделить]

nuka@elibuntu:~$ sudo iptables -A FORWARD -p tcp -tcp-flags SYN,RST SYN -j TCPMSS -set-mss 1286
[sudo] password for nuka:
Bad argument `SYN,RST'
Try `iptables -h' or 'iptables --help' for more information.
а жаль в венде так запарно менять МТУ =)
Где бы ещё толковое русское описание ipmasq найти чтоб понять что к чему.... пробовал ещё через webmin но что то вобще не заработало. А за статью отдельное спасибо понял что к чему