On Mon, Dec 11, 2006 at 04:07:56PM +0300, Alexander GQ Gerasiov wrote: > На Mon, 11 Dec 2006 14:26:23 +0200 > Alexander Vlasov <[EMAIL PROTECTED]> записано: > > > У меня до недавнего времени PII-300 с 200-300 правил справлялся с > > 12мбит потоком. Что у вас за машина? > Судя по симптомам, проблема там не в iptables. > ЗЫ. Оверквотить-то зачем?
Позволю себе предположить, что iptables тут могут быть неким образом виноваты. Точнее их настройка. Например при попытке обратиться к висящему на localhost DNS (что должен делать при коннекте по крайней мере postfix) на правилах ниже могут возникать тормоза (встречается пакет, которому вообще не нужен mac-address и netfilter встает колом). > > В Вск, 10/12/2006 в 15:35 +0200, Vladimir N. Shilov пишет: > > > пробшема в следующем -- после добавлениея в INPUT 150-200 правил > > > вида iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP > > > машина практически перестала реагировать на входящие коннекты > > > причем это произошло только с почтовыми службами -- > > > postfix, courier-imap/pop3, amavis, gld > > > те же apache и ssh отвечают мгновенно > > > > > > модифицировал правила на > > > iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j > > > REJECT --reject-with icmp-host-unreachable > > > время коннекта сократилось примерно до 7-ти секунд. Что если эти правила поместить в отдельную цепочку, в которую переходить по iptables -I INPUT -i eth0 -j our_chain ??? И то у меня нет уверенности, что этого достаточно. Может быть нужна более сложная схема с использованием цепочки PREROUTING. Как Вам такое предположение? И какие мысли по достаточности/недостаточности решения выше? WBR Dmitri Ivanov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
