firewall no servidor impedindo o acesso de vários computadores ao mesmo ip NAT

1

Estou encontrando um problema estranho com meu provedor de VPS e me perguntei se alguém aqui com experiência de firewall / sysadmin tinha visto algo assim.

Alguém viu uma situação em que um firewall ou programa semelhante está configurado para causar lentidão ao tráfego quando vê solicitações tcp vindas de vários computadores no mesmo endereço IP?

              |
              |      +---+
              |     -+   |
+----+        | ---/ +---+
|    |        +/    client 1
+----+--------\
server        |-\
              |  --\ +---+
              |     -+   |
              |      +---+
            NAT     client 2

Aqui está um pequeno gráfico do cenário. O servidor primeiro vê uma solicitação do cliente 1 ou 2 (não importa o pedido) e, em seguida, uma solicitação 10 segundos depois do outro computador é atrasada até o tempo limite. Solicitações do primeiro computador continuam sem redução.

Eu fiz TCP dumps para ver o que poderia estar acontecendo, mas, até onde eu sei, o que está causando o slowdown está no pacote tcp ou abaixo - não é nenhuma informação em nível de aplicativo. Eu posso enviar pacotes TCP simples sem informações de aplicativos e isso acontece uniformemente. É tão estranho, e sempre que eu procuro esse problema, ele só traz informações sobre como configurar o NAT. Mas não é o NAT que está em questão - isso realmente ocorre, não importa onde eu esteja, desde que seja esse cenário.

Você pode realmente ver isso por si mesmo, acessando meu servidor, zenia.co, a partir do seu computador e, em seguida, tentar acessá-lo imediatamente depois de um computador diferente na mesma rede ou de um telefone celular usando essa rede . contanto que o servidor veja o mesmo ip, mas diferentes informações de tcp / ip (talvez tamanhos de janela diferentes ou TTLs ou algo assim, é incompreensível!

Isso é particularmente preocupante, porque se dois usuários tentarem acessar o servidor pelo mesmo ip (como dois usuários em desktops de um único negócio), ele permitirá um, mas misteriosamente bloqueará o outro, e talvez eu tenha perdido um usuário.

Para enfatizar - estou interessado apenas se isso é algo que é prática padrão em certos tipos de servidores - é por isso que estou perguntando entre os engenheiros de rede / administradores de sistemas. Eu não estou tentando consertar algo quebrado.

Detalhes técnicos: A caixa é um servidor virtual do CentOS. Se eu ligar ou desligar o firewall da caixa, isso acontece. Seja qual for a aplicação que eu tenha atingido na caixa (Tomcat, Lighttpd, telnet), isso acontece.

Acompanhamento, 6/9/2016 : Este foi o caso em um provedor de VPS de baixa qualidade. Eu acho que foi apenas uma configuração de firewall estragada do lado deles.

    
por Byron Katz 02.07.2015 / 17:40

0 respostas