Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: MASQUERADE в iptables  (Прочитано 6363 раз)
0 Пользователей и 1 Гость смотрят эту тему.
McZim
Модератор

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« : 12-12-2007 20:55 » 

Всем привет. Краткая предыстория. Дома я подключен к интернет провайдеру Corbina, с якобы заявленной скоростью 6,6 Мб через обычную витую пару (vpn тунель). Когда их специалисты меня подключали для них специально была поставленна венда на комп. Все отлично все леатет нареканий нет, затем я благополучно переезжаю на Ubuntu и тоже все замечательно. Затем немного подклпив я покупаю блок питания и новый винчестер, собираю себе сервачок из старого барахла, в итоге получается Celeron 1.7+256RAM+40HDD+250HDD+Gigabyte Motherboard на Sis chipset Улыбаюсь На все это дело я напяливаю Debian Etch+kernel 2.6.18+proftpd+iptables и два интерфейса. Один для моей локалки так сказать второй для корбины. Все это дело настраивается и работает очень даже ничего, но вот есть одно но.

Когда я хожу по веб страничкам, то они очень долго (а то и вообще не могут) до конца прогрузится, т.е. подгружаются не все картинки. У меня жена в своей летне друзей в ЖЖ любит смотреть как ее друзья фотографы ченить выкладывают и получается например на одно такой странице примерно по 70 картинок (это в месте с ЖЖшными) и примерно 50-60 только загружены, т.е. некоторые интеренсные например фотографии тупо не отображаются. Я поначалу ессно Улыбаюсь стал грешить на корбину, потом стал проверять все свои правила фаервола, затем просто напросто воткнул корбиновский цшнурок себе в рабочую станцию, настроил VPN и на тебе, все летает как прежде, т.е. грузятся все картинки и довольно быстро. Тогда я немного покавыряв свой фаервол на сервере, обнаружил такую вещь:

вот при таком раскладе, проявляется выше описанная проблема

Код:
$ipt -t nat -A POSTROUTING -s 192.168.5.0/24 -o $inet -j MASQUERADE

а вот если так, то все замечательно, даже через сервер

Код:
$ipt -t nat -A POSTROUTING -o $inet -j MASQUERADE

т.е. с проблемой я разобрался и все хорошо сейчас Улыбаюсь НО, я никак не могу допереть почему так???

P.S. 192.168.5.0/24 это моя домашняя сетка (192.168.5.1-сервер, 192.168.5.2-рабочий комп, 192.168.5.3-ноутбук).
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 13-12-2007 08:39 » 

McZim, думаю, что дело было не в бобине. Почитай про connection tracking. Попробуй ip_conntrack_max, хотя для такой маленькой сетки должно хватать и дефолтного значения.

Давно я не занимался iptables - надо будет поковырятся в старых конфигурациях. Посмотрю - расскажу. Из старых правил, что под рукой нашлись, работает по первому варианту.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
McZim
Модератор

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #2 : 16-12-2007 15:50 » 

Как обычно причинным местом оказалось не то что я думал. В общем основной строчкой является вот это:

Код:
$ipt -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss=576
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines