服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 可怜的iptablesnetworking转发性能
Intereting Posts
每天晚上在什么情况下重新build立表格是一个好主意? 优化Apache EC2微型实例 默认情况下禁用系统范围内的某些Firefox插件 是否存在一种使gTLD服务器更新其给定域的NSlogging的方法? 为什么Amazon OpsWorks操作如此缓慢? 用个人电脑连接到networking 警告会话开始 – 不能发送会话caching限制器 – 已经发送的头文件 SAS多路,直连硬盘和扩展板背板之间的区别? Nginx使用Python-urllib返回404,但是如果从浏览器访问则罚款 .htaccess需要铬而不是其他浏览器的密码? Windows Server 2012作为具有用户身份validation的Web服务器 – VL / SPLA – 是合法的吗? 在上游读取时中间“上游过早closures连接” 邮件因尺寸而被拒绝时如何得到通知 使用lVM进行快照 为什么我不能绑定到Mac OS X上的127.0.0.1?

可怜的iptablesnetworking转发性能

这是我的防火墙脚本: 

WAN_NIC="ppp0" LAN_NIC="eth1" DYN_ADDR="yes" iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P POSTROUTING ACCEPT iptables -t mangle -P INPUT ACCEPT iptables -t mangle -P OUTPUT ACCEPT iptables -t mangle -P FORWARD ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT ! -i ${WAN_NIC} -j ACCEPT # Allow selected services iptables -A INPUT -i ${WAN_NIC} -p tcp --dport 3535 -j ACCEPT iptables -A INPUT -i ${WAN_NIC} -p udp --dport 8123 -j ACCEPT # Allow forwarding of selected services for svc in `cat /etc/firewall/allowed_services` do iptables -A FORWARD -i ${LAN_NIC} -p tcp --dport ${svc} -j ACCEPT iptables -A FORWARD -i ${LAN_NIC} -p udp --dport ${svc} -j ACCEPT done for in_svc in `cat /etc/firewall/allowed_input_services` do iptables -A FORWARD -d 0/0 -p tcp --dport ${in_svc} -j ACCEPT done # Allow VPN Tunnel forwarding iptables -A FORWARD -i ${VPN_TUN} -j ACCEPT # Allow all services for whitelisted clients for whl in `cat /etc/firewall/clients_whitelist` do iptables -A FORWARD -s ${whl} -j ACCEPT done if [ "${DYN_ADDR}" == "yes" ] then iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ${WAN_NIC} -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.7.1.0/24 -o ${WAN_NIC} -j MASQUERADE else iptables -t nat -A POSTROUTING -i ${LAN_NIC} -o ${WAN_NIC} -j SNAT --to-source ${WAN_IP} fi iptables -t nat -A PREROUTING -i ${WAN_NIC} -p tcp --dport 4899 -j DNAT --to-destination 192.168.0.200 iptables -t nat -A PREROUTING -i ${WAN_NIC} -p tcp --dport 4900 -j DNAT --to-destination 192.168.0.199:4899 iptables -t nat -A PREROUTING -p tcp --dport 491 -j DNAT --to-destination 192.168.0.199 iptables -t nat -A PREROUTING -i ${LAN_NIC} -s 10.7.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 10.7.1.1:3128 iptables -t nat -A PREROUTING -i ${LAN_NIC} -s 192.168.0.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.231:3128

事情是,当我从一个转发的端口,即4899(radmin)从外部连接,连接按预期工作。 如果我尝试使用http(80)浏览网页,则它也能按预期工作,因为我们使用的是透明代理。

但是,当我尝试浏览使用https(443)时,它连接到服务器,但连接低通量工作。

PS:允许转发带有端口443的数据包,因为它存在于文件“/ etc / firewall / accepted_services”

PS2:连接使用MASQUERADE(来自ppp0的dynamicip)

在此先感谢,爱德华多梅洛

SSL显然使用encryption,所以根据运行启用了SSL的networking服务器的计算机的规格,可能会有明显的差异。