iptables deixando a conexão lenta

lordhulk
(usa Ubuntu)

Enviado em 09/01/2009 - 19:42h

Estou com um probleminha com iptables.
Tenho um servidor com squid, bind,iptables,dhcp.
Utilizei a regra para amarrar o ip ao mac e defini as policies INPUT e FORWARD como DROP. O problema é q notei que quando essas regras estão em uso, o tempo de resposta no acesso à paginas fica beeeem mais lento mesmo, algo como 3 a 5 segundos para começar a puxar a pagina, quando estou sem essas regras é imediato. Eu utilizei essas regras aqui abaixo e descartp a hipotese de hardware pois é um phenom triple core com 1g de RAM.

iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -t filter -A INPUT -p udp --sport 67:68 --dport 67:68 -m mac --mac-source <ENDERECO MAC> -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 67:68 --dport 67:68 -m mac --mac-source <ENDERECO MAC> -j ACCEPT

iptables -t filter -A FORWARD -m MAC --mac-source <ENDEREÇO MAC> -j ACCEPT

iptables -t filter -A INPUT -m mac --mac-source <ENDEREÇO MAC> -j ACCEPT


Alguem tem alguma ideia?

richardandrade
(usa Debian)

Enviado em 10/01/2009 - 14:11h

olha só, se voce tiver muitas máquinas amarradas ao MAC tu precisa de um servidor mais robusto kara.

OSirix
(usa CentOS)

Enviado em 10/01/2009 - 15:22h

amarra mac por iptables é uma boa ..

só que isso consume muito recursos da maquina se a sua rede for muito grande..

então pra ter mas desempenho eu amarro mac sujando a tabela arp ..

eXemplo ...

ARP -F /etc/ethers


e edita esse arquivo ethers
192.168.0.2 00:00:00:00:00:4e
192.168.0.3 00:34:ad:bc:56:e2

acho mais simples e melhor .^^
vlw..

removido
(usa Nenhuma)

Enviado em 11/01/2009 - 13:12h

Bom dia lordhulk...
O problema foi resolvido?

Não sou nenhum especialista no assunto, então me perdoe se meu post for muito inútil.
Com o INPUT DROP você chegou a verificar no "messages" ou verificou pelo tcpdump se alguma informação está sendo dropada as estações?

lordhulk
(usa Ubuntu)

Enviado em 11/01/2009 - 18:53h

Ainda não resolvi o problema. Consegui um paleativo usando /etc/ethers para amarrar o mac ao ip, mas ainda não é o q quero... eu vou tentar as dicas q vc ta mandando e posto retorno... valeu cara..