Hans R. Steiner Опубликовано 10 января, 2006 Жалоба Поделиться Опубликовано 10 января, 2006 чего-то я не понимаю ## MYROUTER ## ======================================== CMD="iptables" EXTIP="[my external ip]" LOCIP="[my host's local ip address]" ## FLUSH IPTABLES RULES $CMD -F $CMD -F -t nat ## LOCAL SECURITY $CMD -A INPUT -s $LOCIP -j ACCEPT $CMD -P INPUT DROP $CMD -A FORWARD -s $LOCIP -j ACCEPT $CMD -A FORWARD -d $LOCIP -j ACCEPT $CMD -P FORWARD DROP ## NAT RULES $CMD -t nat -A POSTROUTING -s $LOCIP -j SNAT --to-source $EXTIP результат - дикие тормоза $CMD -P INPUT ACCEPT - все летает, все красиво, но если DROP то, 1. жудко тормозит инет 2. жудко тормозит iptables -L -- ~~30 сек. ожидания перед выводом каждого правила Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hans R. Steiner Опубликовано 10 января, 2006 Автор Жалоба Поделиться Опубликовано 10 января, 2006 Все... починил... только не совсем понимаю связь... DNSIP="[DNS server's ip address of ISP]" iptables -A INPUT -s $DNSIP -j ACCEPT iptables -A INPUT -d $DNSIP -j ACCEPT Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ineu Опубликовано 11 января, 2006 Жалоба Поделиться Опубликовано 11 января, 2006 Мож iptables битый? И еще - несколько оффтоп, поскольку ничего полезного не скажу, но все равно интересно - а если вместо -P FORWARD DROP поставить последним правилом -A FORWARD -jDROP? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 11 января, 2006 Жалоба Поделиться Опубликовано 11 января, 2006 Цитата: результат - дикие тормоз все правильно. Во-первых вы как минимум не описали в правилах lo интерфейс (взаимодействие между сервисами на лапбеке закрыли фактически). В вторых для отладки юзайте iptables -A INPUT(FORWARD) -j LOG(ULOG) в конце и смотрите куда идут срубающиеся пакеты. Цитата: а если вместо -P FORWARD DROP поставить последним правилом -A FORWARD -jDROP? и что это даст? ничего - теже яйца только в профиль. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ineu Опубликовано 11 января, 2006 Жалоба Поделиться Опубликовано 11 января, 2006 Dr.Spectre писал(а) ср, 11 января 2006 09:32 Цитата: а если вместо -P FORWARD DROP поставить последним правилом -A FORWARD -jDROP? и что это даст? ничего - теже яйца только в профиль. Ну я собсно для того вопрос и задавал, чтобы узнать, что это даст. Яйца не те же. Возможна, например, ситуация, при которой в результате ошибки разработчиков в конкретной версии iptables они будут корректно работать с правилами и некорректно с политиками. Это, конечно, маловероятно, но возможно. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Ineu Опубликовано 11 января, 2006 Жалоба Поделиться Опубликовано 11 января, 2006 Hans R. Steiner писал(а) ср, 11 января 2006 01:46 Все... починил... только не совсем понимаю связь... DNSIP="[DNS server's ip address of ISP]" iptables -A INPUT -s $DNSIP -j ACCEPT iptables -A INPUT -d $DNSIP -j ACCEPT Кста, а как без этих правил (когда были тормоза) отличалась скорость работы iptables -L и iptables -nL? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.