Hans R. Steiner Опубликовано 10 января, 2006 Жалоба Опубликовано 10 января, 2006 чего-то я не понимаю ## MYROUTER ## ======================================== CMD="iptables" EXTIP="[my external ip]" LOCIP="[my host's local ip address]" ## FLUSH IPTABLES RULES $CMD -F $CMD -F -t nat ## LOCAL SECURITY $CMD -A INPUT -s $LOCIP -j ACCEPT $CMD -P INPUT DROP $CMD -A FORWARD -s $LOCIP -j ACCEPT $CMD -A FORWARD -d $LOCIP -j ACCEPT $CMD -P FORWARD DROP ## NAT RULES $CMD -t nat -A POSTROUTING -s $LOCIP -j SNAT --to-source $EXTIP результат - дикие тормоза $CMD -P INPUT ACCEPT - все летает, все красиво, но если DROP то, 1. жудко тормозит инет 2. жудко тормозит iptables -L -- ~~30 сек. ожидания перед выводом каждого правила Цитата
Hans R. Steiner Опубликовано 10 января, 2006 Автор Жалоба Опубликовано 10 января, 2006 Все... починил... только не совсем понимаю связь... DNSIP="[DNS server's ip address of ISP]" iptables -A INPUT -s $DNSIP -j ACCEPT iptables -A INPUT -d $DNSIP -j ACCEPT Цитата
Ineu Опубликовано 11 января, 2006 Жалоба Опубликовано 11 января, 2006 Мож iptables битый? И еще - несколько оффтоп, поскольку ничего полезного не скажу, но все равно интересно - а если вместо -P FORWARD DROP поставить последним правилом -A FORWARD -jDROP? Цитата
SignFinder Опубликовано 11 января, 2006 Жалоба Опубликовано 11 января, 2006 Цитата: результат - дикие тормоз все правильно. Во-первых вы как минимум не описали в правилах lo интерфейс (взаимодействие между сервисами на лапбеке закрыли фактически). В вторых для отладки юзайте iptables -A INPUT(FORWARD) -j LOG(ULOG) в конце и смотрите куда идут срубающиеся пакеты. Цитата: а если вместо -P FORWARD DROP поставить последним правилом -A FORWARD -jDROP? и что это даст? ничего - теже яйца только в профиль. Цитата
Ineu Опубликовано 11 января, 2006 Жалоба Опубликовано 11 января, 2006 Dr.Spectre писал(а) ср, 11 января 2006 09:32 Цитата: а если вместо -P FORWARD DROP поставить последним правилом -A FORWARD -jDROP? и что это даст? ничего - теже яйца только в профиль. Ну я собсно для того вопрос и задавал, чтобы узнать, что это даст. Яйца не те же. Возможна, например, ситуация, при которой в результате ошибки разработчиков в конкретной версии iptables они будут корректно работать с правилами и некорректно с политиками. Это, конечно, маловероятно, но возможно. Цитата
Ineu Опубликовано 11 января, 2006 Жалоба Опубликовано 11 января, 2006 Hans R. Steiner писал(а) ср, 11 января 2006 01:46 Все... починил... только не совсем понимаю связь... DNSIP="[DNS server's ip address of ISP]" iptables -A INPUT -s $DNSIP -j ACCEPT iptables -A INPUT -d $DNSIP -j ACCEPT Кста, а как без этих правил (когда были тормоза) отличалась скорость работы iptables -L и iptables -nL? Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.