Re: IPTABLES causando LAG
Alguns serviços, quando vc liga a eles, fazem uma consulta de dns inverso de seu endereço ip. Se você fechou o caminho de saída ás consultas dns do servidor, quiçá esa espera seja a espera do servidor da resposta desa consulta e, até que chega ao timeout, não responde a você. Para que esas consultas não falhem, o servidor tem que poder ligar a portas udp 53 remotas. a tabela OUTPUT do meu servidor está limpa e setada para polyce ACCEPT Outra possibilidade é que o servidor faça, já não a um servidor mas a você mesmo, uma consulta ident, para saber que usuário do seu micro é o que está solicitando a ligação. Para que esas consultas não falhem, o servidor tem que poder ligar a portas tcp 113 remotas, e você tem que ter rolando um servidor de ident no seu micro. Na verdade eu estou efetuando os testes do mesmo cliente. iptables limpo = rápido iptables habilitado = lentidão -- Denis Marcelo
Re: IPTABLES causando LAG
quando vc se refere ao IP 172.16.8.0/16 a mascara está correta?! para a mascara 255.255.255.0 seria 172.16.8.0/24 conforme documentação do IPTables. experimente também, especificar o IP sem mascará alguma, somente para efeito de teste e confira se dá LAG. Outra possibilidade, abrar o firewall para escutar a placa da rede interna para a porta de FTP, assim vc não precisaria especificar cada IP, pois você estaria abrindo a porta FTP somente para a rede interna. Acho que vale um teste. Sinceramente, estou apostando nessa possibilidade, já q tenho essas mesmas regras em meu server e funciona sem LAG algum, tudo zerinho. Grande Abraço!!! Maxx Denis wrote: Galera, eu tenho um servidor web e até então ele estava sem firewall eu habilitei o Iptables, com algumas regras simples para começar por enquanto... mas agora com o iptables habilitado ele está gerando uma lentidão para estabelecer as conexões(as que têm regras permitindo) Um exemplo bobo é um ftp eu alterei a police da minha chain INPUT para DROP e coloquei uma regra: iptables -A INPUT -s 172.16.8.0/16 -j ACCEPT e com isso gera um lag de uns 10 segundos para estabelecer a conexão com o servidor tentei com uma regra diferente: iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 20 -j ACCEPT mas a lentidão é a mesma... Algum pode me dar umas dicas sobre como diminuir este LAG nas conexões? Denis Marcelo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: IPTABLES causando LAG - resolvido.
Oi galera! O problema era mesmo relativo a consulta DNS mas era consulta DNS local e não remota. Resolvi com a seguinte regra: iptables -A INPUT -p udp --sport nameserver -j ACCEPT Muito obrigado pelas dicas!! -- Denis Marcelo
Re: IPTABLES causando LAG
Denis wrote: a tabela OUTPUT do meu servidor está limpa e setada para polyce ACCEPT O iptables filtra pacotes, não ligações, salvo que você use o modulo state, que não usou no exemplo que escreveu aqui. Tem que habilitar o caminho para os pacotes de resposta de dns com iptables -A INPUT -s $rede -p udp --sport 53 -j ACCEPT ou tem que usar o módulo state para que eses pacotes sejam reconhecidos como resposta a uma ligação saínte. Não há uma ligação na realidade com udp, mas o módulo ainda reconhece a relação entre os pacotes. Na verdade eu estou efetuando os testes do mesmo cliente. iptables limpo = rápido iptables habilitado = lentidão Se você aceita, tendo a lista _completa_ de regras poderia lhe ajudar melhor. Pode me envia-las em privado também. Todavia, e esto va para todos, o módulo state é muito útil, já que permite fazer um firewall lógico em lugar de um físico, pensando mais nos serviços que um quer habilitar que nos pacotes particulares que tem que deixar passar ou não. Modestamente, eu tenho escrito um mini tutorial sobre o tema, que pode ajudar a entende-lo fácilmente. Está escrito em espanhol, mas há muitos sites na web que podem fazer a tradução. http://www.gpirujo.com.ar/fw-tutorial.txt Espero que lhe seja útil. :) Me pergunte o que necessite! -- Guillermo Pereyra Irujo Tandil, Argentina -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
IPTABLES causando LAG
Galera, eu tenho um servidor web e até então ele estava sem firewall eu habilitei o Iptables, com algumas regras simples para começar por enquanto... mas agora com o iptables habilitado ele está gerando uma lentidão para estabelecer as conexões(as que têm regras permitindo) Um exemplo bobo é um ftp eu alterei a police da minha chain INPUT para DROP e coloquei uma regra: iptables -A INPUT -s 172.16.8.0/16 -j ACCEPT e com isso gera um lag de uns 10 segundos para estabelecer a conexão com o servidor tentei com uma regra diferente: iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 20 -j ACCEPT mas a lentidão é a mesma... Algum pode me dar umas dicas sobre como diminuir este LAG nas conexões? Denis Marcelo
Re: IPTABLES causando LAG
Denis, Os comentários abaixo sobre ToS estão no link http://br-linux.org/tutoriais/001320.html Só um adendo, regras básicas do TOS: Use Minimize-Delay em serviços interativos (SSH, Terminal Service, etc) Use Maximize-Throughput em serviços de grande transmissão (HTTP, FTP, SMTP, etc) Veja se te ajuda. Um abraço, Luiz Gonzaga da Mata. Denis escreveu: Galera, eu tenho um servidor web e até então ele estava sem firewall eu habilitei o Iptables, com algumas regras simples para começar por enquanto... mas agora com o iptables habilitado ele está gerando uma lentidão para estabelecer as conexões(as que têm regras permitindo) Um exemplo bobo é um ftp eu alterei a police da minha chain INPUT para DROP e coloquei uma regra: iptables -A INPUT -s 172.16.8.0/16 -j ACCEPT e com isso gera um lag de uns 10 segundos para estabelecer a conexão com o servidor tentei com uma regra diferente: iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 20 -j ACCEPT mas a lentidão é a mesma... Algum pode me dar umas dicas sobre como diminuir este LAG nas conexões? Denis Marcelo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: IPTABLES causando LAG
Denis wrote: Galera, eu tenho um servidor web e até então ele estava sem firewall eu habilitei o Iptables, com algumas regras simples para começar por enquanto... mas agora com o iptables habilitado ele está gerando uma lentidão para estabelecer as conexões(as que têm regras permitindo) Um exemplo bobo é um ftp eu alterei a police da minha chain INPUT para DROP e coloquei uma regra: iptables -A INPUT -s 172.16.8.0/16 -j ACCEPT e com isso gera um lag de uns 10 segundos para estabelecer a conexão com o servidor tentei com uma regra diferente: iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 172.16.8.0/16 -p tcp --dport 20 -j ACCEPT mas a lentidão é a mesma... Algum pode me dar umas dicas sobre como diminuir este LAG nas conexões? Alguns serviços, quando vc liga a eles, fazem uma consulta de dns inverso de seu endereço ip. Se você fechou o caminho de saída ás consultas dns do servidor, quiçá esa espera seja a espera do servidor da resposta desa consulta e, até que chega ao timeout, não responde a você. Para que esas consultas não falhem, o servidor tem que poder ligar a portas udp 53 remotas. Outra possibilidade é que o servidor faça, já não a um servidor mas a você mesmo, uma consulta ident, para saber que usuário do seu micro é o que está solicitando a ligação. Para que esas consultas não falhem, o servidor tem que poder ligar a portas tcp 113 remotas, e você tem que ter rolando um servidor de ident no seu micro. O melhor é que olha a configuração dos serviços que têm a lentidão e se asegure de que esas consultas não sejam feitas. Só são útiles para debugging ou logging, mas para uso diário são uma carrega innecessária. -- Guillermo Pereyra Irujo Tandil, Argentina -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]