Re: Conexão lenta em apenas um bloco de rede
2011/5/30 Rogério Oliveira Naressi <rogerio@ipef.br>:
> Caros,
>
> Em uma LAN utilizamos dois blocos de rede e temos um servidor Linux Debian
> Etch com duas placas de rede ligadas na LAN. Segue configurações com dados
> fictícios:
> - Rede A: 143.100.100.0/24
> - Rede B: 200.200.200.0/24
Esses são os ips reais da sua rede interna?
Não use ips roteáveis em redes internas, a não ser que tenha concessão delas.
Se foi somente para não mostrar os ips da rede interna, tbm não use
ips roteáveis, isso confunde a gente que pretende te ajudar. Se a rede
A e 192.168.0.0/24 use 192.168.1.0/24 como exemplo.
E informar qual das redes reservadas usa na sua rede nem e problema
grave de segurança, um "brute force" e sempre aplicado em casos de
tentativas de penetração.
> - Servidor: servidor.dominioA.com.br (IP: 143.100.100.132)
> - Domínio virtual: mail.dominioA.com.br (IP: 143.100.100.130)
> - Domínio virtual: mail.dominioB.org.br (IP: 200.200.200.9)
Muito estranho...
> Quando acesso o servidor de máquinas com IP "Rede A" funciona perfeitamente,
> mas quando acesso de máquinas com IP "Rede B" há uma certa lentidão, tanto
> em acessos via putty (ssh) ao endereço 143.100.100.132 com também para
> navegar em páginas do servidor.
Demora para fechar a conexão costuma de problema da falta de dns
reverso e lentidão no servidor de dns em responder.
Tenha um servidor dns interno respondendo pelo reverso das redes
internas, nem precisa ter os hosts, basta que responda a consulta.
>
> Se desativo o firewall (iptables) a conexão fica rápida, mesmo depois que
> volto a ativar o firewall, a conexão continua rápida. Mas se reinicio o
> servidor volta a ficar lento novamente. Lembra que somente ao acessar por
> máquinas da "Rede B".
Isso comente mais em baixo.
> Acho que o problema é a configuração do Iptables, alguma sugestão?
>
> Configurações rede e firewall:
>
> /etc/network/interfaces:
> ===================
> auto lo
> iface lo inet loopback
>
> auto eth0
> iface eth0 inet static
> address 143.100.100.132
>
> auto eth1 eth1:1
> iface eth1 inet static
> address 143.100.100.130
Heim? Mais coisa estranha...
eth0 e eth1 possuem IPs da mesma rede?
Estão no mesmo switch?
Sabe que isso não funciona? (exceto em condições especiais, que não e o caso)
> iface eth1:1 inet static
> address 200.200.200.9
Se recomenda não usar ethertnet alias, isso esta obsoleto desde o
kernel Linux 2.4. E já estamos no kernel Linux 3.0 (espero que tenham
removido em definitivo).
Desde então a interface suporta múltiplos IPs, tanto ipv4 como ipv6.
Bom, mas a culpa principal e do ifconfig, que não sabe adicionar ips a
interface.
ip addr add 192.168.1.1/24 dev eth1
ip addr add 10.0.0.1/8 dev eth1
ip addr add 172.16.0.0/16 eth1
>
> Configuração Iptables:
> ================
> iptables -F
> iptables -P FORWARD DROP
A maquina em questão e um roteador (gateway)?
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Se sim, não vi a regra que permite o estabelecimento da conexão a ser
tratada por essa regra.
>
> # Apache: HTTP/HTTPS
> iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 80,443 -j
> ACCEPT
> iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 80 -j > ACCEPT
> iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 80 -j ACCEPT
>
> # Mail
> iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 25 -j ACCEPT
> iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 25 -j ACCEPT
> iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 25 -j ACCEPT
Se já carregou o modulo multiport, porque não fez o uso dele?
DICA: Estude o protocolo IPV4, ou seja leia a RFC 791.
A falta desse conhecimento e uma das grandes fontes de consulta em
listas e forums.
> Obrigado,
de Nada.
--
Paulino Kenji Sato
Reply to: