Desempenho de encaminhamento de rede do iptables ruim

Question

Desempenho de encaminhamento de rede do iptables ruim

#1 resposta do (1 votos)

1

Este é o meu script de firewall:

WAN_NIC="ppp0"
LAN_NIC="eth1"
DYN_ADDR="yes"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT ! -i ${WAN_NIC} -j ACCEPT

# Allow selected services
iptables -A INPUT -i ${WAN_NIC} -p tcp --dport 3535 -j ACCEPT
iptables -A INPUT -i ${WAN_NIC} -p udp --dport 8123 -j ACCEPT

# Allow forwarding of selected services
for svc in 'cat /etc/firewall/allowed_services'
do
    iptables -A FORWARD -i ${LAN_NIC} -p tcp --dport ${svc} -j ACCEPT
    iptables -A FORWARD -i ${LAN_NIC} -p udp --dport ${svc} -j ACCEPT
done

for in_svc in 'cat /etc/firewall/allowed_input_services'
do
    iptables -A FORWARD -d 0/0 -p tcp --dport ${in_svc} -j ACCEPT
done

# Allow VPN Tunnel forwarding
iptables -A FORWARD -i ${VPN_TUN} -j ACCEPT

# Allow all services for whitelisted clients
for whl in 'cat /etc/firewall/clients_whitelist'
do
    iptables -A FORWARD -s ${whl} -j ACCEPT
done

if [ "${DYN_ADDR}" == "yes" ]
then
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ${WAN_NIC} -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 10.7.1.0/24 -o ${WAN_NIC} -j MASQUERADE
else
    iptables -t nat -A POSTROUTING -i ${LAN_NIC} -o ${WAN_NIC} -j SNAT --to-source ${WAN_IP}
fi

iptables -t nat -A PREROUTING -i ${WAN_NIC} -p tcp --dport 4899 -j DNAT --to-destination 192.168.0.200
iptables -t nat -A PREROUTING -i ${WAN_NIC} -p tcp --dport 4900 -j DNAT --to-destination 192.168.0.199:4899
iptables -t nat -A PREROUTING -p tcp --dport 491 -j DNAT --to-destination 192.168.0.199

iptables -t nat -A PREROUTING -i ${LAN_NIC} -s 10.7.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 10.7.1.1:3128
iptables -t nat -A PREROUTING -i ${LAN_NIC} -s 192.168.0.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.231:3128

O problema é que quando eu conecto de fora em uma das portas encaminhadas, ou seja, 4899 (radmin), a conexão funciona conforme o esperado. Se eu tentar navegar na web usando http (80), ele também funciona como esperado, já que estamos usando um proxy transparente.

No entanto, quando tento navegar usando https (443), ele se conecta ao servidor, mas a conexão funciona com baixa taxa de transferência.

PS: o encaminhamento de pacotes com porta 443 é permitido, pois está presente no arquivo "/ etc / firewall / accepted_services"

PS2: A conexão usa o MASQUERADE (ip dinâmico de ppp0)

Obrigado antecipadamente, Eduardo Melo

performance iptables firewall gateway gentoo

por EdMelo 18.12.2010 / 00:24

1 resposta

Tags performance iptables firewall gateway gentoo

Mesclar 2 arquivos sql bottle.py na micro instância do EC2 causa lentidão de 2 ordens de magnitude

score 1 · Accepted Answer

O SSL obviamente usa criptografia, portanto, dependendo da especificação da máquina que está executando o servidor da web ativado para SSL, pode haver uma diferença notável.