Кароч, на Линуксовой машине жутко лагает инет, в то время как на виндовых всё летает :(((В сети настроен роутер с параноидальным фаерволлом, в чём отличие?? что надо разрешить? в инете сплошные фризы и таймауты....
>Кароч, на Линуксовой машине жутко лагает инет, в то время как на
>виндовых всё летает :(((
>
>В сети настроен роутер с параноидальным фаерволлом, в чём отличие?? что надо
>разрешить? в инете сплошные фризы и таймауты....Необходимо поставить дрова для /dev/hands и научится правильно задавать вопросы.
Заодно проапгрейтить дрова для /dev/tongue для совместимости с вменяяемой речью.
>Необходимо поставить дрова для /dev/hands и научится правильно задавать вопросы.
>Заодно проапгрейтить дрова для /dev/tongue для совместимости с вменяяемой речью.Первые давно стоят, просто не настроены :) подстроил немного :
http://share.netbynet.ru/963nbnLight
вот основные правила фаервола роутера:
#antihack
#No Fragmentation
add 10 deny ip from any to any frag
#Deny ISMP hack
add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#Deny interip mask hack
add 12 reject ip from $localnet to any in via $outif
# Deny X-scaning
add 14 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning
add 15 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
# Deny FIN-scaning
add 16 reject tcp from any to any not established tcpflags fin
# Prevent from spoofing
add 17 deny ip from any to any not verrevpath in
add 18 deny ip from $localnet to any in via $outif
#ICMP
add 40 deny icmp from any to any#--- далее пишу по памяти и упрощённо и условно (на самом деле всё ещё сложнее, но работает )...
#dynamic
chek state
#Allowed
add allow tcp from $localnet >1024 to any 53,80,8080,8000 keep state via $outif
add allow udp from $localnet >1024 to any 53 keep state via $outif#nat
add nat 123 via $outif deny in#deny to default
add 65000 deny all from any to any
, а для вторых новых версий давно не выходило...нефига не понимаю, почему коробочная винда пашет, а ни один дисриб пингвина --нет..
а если правила убрать, интернет на линуксах работает?
если работает, то предложу такую банальность: убираешь все правила и добавляешь потихоньку их назад, проверяя работает интернет на линуксах или нет.
>а если правила убрать, интернет на линуксах работает?
>если работает, то предложу такую банальность: убираешь все правила и добавляешь потихоньку
>их назад, проверяя работает интернет на линуксах или нет.Да, всё пашет, но добавлять по одному правилу -- не вариант, я написал очень упрощённо, я сам ща не найду где какой блок и за что отвечает.....
И настройки роутера, ИМХО, трогать не грамотно, трабла явно именно в пингвине, значит надо его копать...
т.е. читать это нужно так: я разбираться и делать ничего не хочу, тыкнете мне пальчиком где и что поправить.
>т.е. читать это нужно так: я разбираться и делать ничего не хочу,
>тыкнете мне пальчиком где и что поправить.Не совсем:
Читать надо так, народ, кто в теме, в ЧЁМ отличие протоколов сетевых протоколов винды и Linux, и как его устранить.Даже, если я переберу весь конфиг и найду конкретное правило, это ничего не изменет... ну окажется, что из-за флагов SYN,RST что это даст? или я туплю?
и без того понятно, что отличие в протоколах, и те кто разбираются наверняка с ходу напомнят (я что-то такое начинаю припоминать, но вот вылетело...) вопрос не столько в разницы, а в том как её убрать, а какое правило блочит наверняка из симптомов и сниф-статистики легко вычислить...
>>т.е. читать это нужно так: я разбираться и делать ничего не хочу,
>>тыкнете мне пальчиком где и что поправить.
>
>Не совсем:
>Читать надо так, народ, кто в теме, в ЧЁМ отличие протоколов сетевых
>протоколов винды и Linux, и как его устранить.например в дефолтных значениях TTL. Помогло?
>
>Даже, если я переберу весь конфиг и найду конкретное правило, это ничего
>не изменет... ну окажется, что из-за флагов SYN,RST что это даст?
>или я туплю?Ага.
>
>и без того понятно, что отличие в протоколах, и те кто разбираются
>наверняка с ходу напомнят (я что-то такое начинаю припоминать, но вот
>вылетело...) вопрос не столько в разницы, а в том как её
>убрать, а какое правило блочит наверняка из симптомов и сниф-статистики легко
>вычислить...Снять дамп проблемной сессии, разобрать его, потом устранить причины.
>например в дефолтных значениях TTL. Помогло?Нет, ТЛЛ не причём (провайдер не режет, шлюз для ТЛЛ прозрачен (+0)) :((( и МТУ тоже...
>>
>>Даже, если я переберу весь конфиг и найду конкретное правило, это ничего
>>не изменет... ну окажется, что из-за флагов SYN,RST что это даст?
>>или я туплю?
>
>Ага.
>Снять дамп проблемной сессии, разобрать его, потом устранить причины.снял, я статистику же выложил (с клиента)
>[оверквотинг удален]
>
>>>
>>>Даже, если я переберу весь конфиг и найду конкретное правило, это ничего
>>>не изменет... ну окажется, что из-за флагов SYN,RST что это даст?
>>>или я туплю?
>>
>>Ага.
>>Снять дамп проблемной сессии, разобрать его, потом устранить причины.
>
>снял, я статистику же выложил (с клиента)и что там видно.
6,7,8 - похоже на то что клиент 3 раза пытается установить соединение, но ни одного ответа от сервера не получилпрошли ли эти запросы ваш шлюз?
приходили ли ответы с сервера на ваш шлюз?
>[оверквотинг удален]
>>>Снять дамп проблемной сессии, разобрать его, потом устранить причины.
>>
>>снял, я статистику же выложил (с клиента)
>
>и что там видно.
>6,7,8 - похоже на то что клиент 3 раза пытается установить соединение,
>но ни одного ответа от сервера не получил
>
>прошли ли эти запросы ваш шлюз?
>приходили ли ответы с сервера на ваш шлюз?не проще на все deny правила повесить log и смотреть то что дропается?
>не проще на все deny правила повесить log и смотреть то что
>дропается?Точняк, я туплю....
А не подскажешь, как в ipfw текущую статистику в нули скинуть? а то я кажись все логи при сборки ядра отрубил....
>А не подскажешь, как в ipfw текущую статистику в нули скинуть? а
>то я кажись все логи при сборки ядра отрубил....man ipfw
search zero
Всем спасибо, я старый, слепой критин и параноик:
net.ipv4.ip_local_port_range = 32768 49151ВСЕМ ОГРОМНОЕ СПАСИБО за терпение и настойчивое пиняние в нужном направлении, ответ был более чем банален, я закрыл верхние порты (которые винда не юзает), а потом по глупости посто это правило терялось среди сотни других...
Щтдельное спасибо за подсказку про zero. Она и дала верный ответ....