[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RES: Conexão lenta em apenas um bloco de rede

Paulinho,

Vou tentar ser mais claro, os endereços IPs são fictícios, mas ambas as
classes que utilizamos são de IPs válidos, todos roteáveis, portanto
represento meus exemplos fielmente a que usamos aqui, só usei uma subnet
diferente, mas a classe é a mesma.

Ambas são /24 e cada uma pertencente a um domínio diferente, devidamente
cadastrado no DNS.

- Rede A: 143.100.100.0/24 (domínioA.com.br)
- Rede B: 200.200.200.0/24 (domínioB.org.br)

O servidor utilizamos para serviços Web (Apache) e Mail (Postfix), para
ambos os domínios, é como tivesse meu servidor respondendo por
www.debian.org e www.unicamp.br , sendo cada domínio com seu próprio IP
válido, por isso configurei as placas de rede conforme segue:

- Servidor: servidor.dominioA.com.br (IP: 143.100.100.132 ? eth0)
- Domínio virtual: mail.dominioA.com.br (IP: 143.100.100.130 ? eth1)
- Domínio virtual: mail.dominioB.org.br (IP: 200.200.200.9 ? eth1:1)

Para simplificar o problema, vou usar só o Putty com exemplo, acessando
direto pelo IP, assim descarto que seja problema de DNS.

Quando estou em uma máquina com IP "Rede A" e acesso via Putty o servidor
(IP 143.100.100.132) funciona perfeitamente, mas quando acesso de uma
máquina com IP "Rede B" há certa lentidão, é solicitado o username, mas até
aparecer à solicitação da senha leva uns 30 segundos. Se desativo o firewall
fica perfeito.

Segue abaixo novamente as configurações de rede e firewall: 

/etc/network/interfaces:
===================
auto eth0
iface eth0 inet static
        address 143.100.100.132
        netmask 255.255.255.0
        network 143.100.100.0
        broadcast 143.100.100.255
        gateway 143.100.100.1
        dns-nameservers 200.255.255.65 200.255.255.70
        dns-search dominioA.com.br

auto eth1 eth1:1
iface eth1 inet static
        address 143.100.100.130
        netmask 255.255.255.0
        network 143.100.100.0
        broadcast 143.100.100.255
        gateway 143.100.100.1
iface eth1:1 inet static
        address 200.200.200.9
        netmask 255.255.255.0
        network 200.200.200.0
        broadcast 200.200.200.255

Configuração Iptables:
================
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Loopback
iptables -A INPUT -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

# Libera acesso rede local
iptables -A INPUT -s 143.100.100.0/24 -j ACCEPT iptables -A INPUT -s
200.200.200.0/24 -j ACCEPT

# Estabelece relacao de confianca entre estacoes da rede local ja
estabelecidas #iptables -A INPUT -s 143.100.100.0/24 -m state --state NEW -j
ACCEPT #iptables -A INPUT -s 200.200.200.0/24 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A
FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Apache: HTTP/HTTPS
iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 80,443 -j
ACCEPT iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 80
-j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 80
-j ACCEPT

# Mail
iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 25 -j
ACCEPT iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 25
-j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 25
-j ACCEPT


Obrigado,

Rogério Naressi.


-----Mensagem original-----
De: Paulino Kenji Sato [mailto:pksato@gmail.com] 
Enviada em: quarta-feira, 1 de junho de 2011 23:07
Para: debian-user-portuguese@lists.debian.org
Assunto: Re: Conexão lenta em apenas um bloco de rede

2011/5/30 Rogério Oliveira Naressi <rogerio@ipef.br>:
> Caros,
>
> Em uma LAN utilizamos dois blocos de rede e temos um servidor Linux 
> Debian Etch com duas placas de rede ligadas na LAN. Segue 
> configurações com dados
> fictícios:
> - Rede A: 143.100.100.0/24
> - Rede B: 200.200.200.0/24

Esses são os ips reais da sua rede interna?
Não use ips roteáveis em redes internas, a não ser que tenha concessão
delas.
Se foi somente para não mostrar os ips da rede interna, tbm não use ips
roteáveis, isso confunde a gente que pretende te ajudar. Se a rede A e
192.168.0.0/24 use 192.168.1.0/24 como exemplo.
E informar qual das redes reservadas usa na sua rede nem e problema grave de
segurança, um "brute force" e sempre aplicado em casos de tentativas de
penetração.

> - Servidor: servidor.dominioA.com.br (IP: 143.100.100.132)
> - Domínio virtual: mail.dominioA.com.br (IP: 143.100.100.130)
> - Domínio virtual: mail.dominioB.org.br (IP: 200.200.200.9)

Muito estranho...

> Quando acesso o servidor de máquinas com IP "Rede A" funciona 
> perfeitamente, mas quando acesso de máquinas com IP "Rede B" há uma 
> certa lentidão, tanto em acessos via putty (ssh) ao endereço 
> 143.100.100.132 com também para navegar em páginas do servidor.

Demora para fechar a conexão costuma de problema da falta de dns reverso e
lentidão no servidor de dns em responder.
Tenha um servidor dns interno respondendo pelo reverso das redes internas,
nem precisa ter os hosts, basta que responda a consulta.

>
> Se desativo o firewall (iptables) a conexão fica rápida, mesmo depois 
> que volto a ativar o firewall, a conexão continua rápida. Mas se 
> reinicio o servidor volta a ficar lento novamente. Lembra que somente 
> ao acessar por máquinas da "Rede B".

Isso comente mais em baixo.

> Acho que o problema é a configuração do Iptables, alguma sugestão?
>
> Configurações rede e firewall:
>
> /etc/network/interfaces:
> ===================
> auto lo
> iface lo inet loopback
>
> auto eth0
> iface eth0 inet static
>        address 143.100.100.132

>
> auto eth1 eth1:1
> iface eth1 inet static
>        address 143.100.100.130

Heim? Mais coisa estranha...
eth0 e eth1 possuem IPs da mesma rede?
Estão no mesmo switch?
Sabe que isso não funciona? (exceto em condições especiais, que não e o
caso)


> iface eth1:1 inet static
>        address 200.200.200.9

Se recomenda não usar ethertnet alias, isso esta obsoleto desde o kernel
Linux 2.4. E já estamos no kernel Linux 3.0 (espero que tenham removido em
definitivo).
Desde então a interface suporta múltiplos IPs, tanto ipv4 como ipv6.
Bom, mas a culpa principal e do ifconfig, que não sabe adicionar ips a
interface.
ip addr add 192.168.1.1/24 dev eth1
ip addr add 10.0.0.1/8 dev eth1
ip addr add 172.16.0.0/16 eth1


>
> Configuração Iptables:
> ================
> iptables -F

> iptables -P FORWARD DROP

A maquina em questão e um roteador (gateway)?


> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Se sim, não vi a regra que permite o estabelecimento da conexão a ser
tratada por essa regra.


>
> # Apache: HTTP/HTTPS
> iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 
> 80,443 -j ACCEPT iptables -A INPUT -d 143.100.100.130 -p tcp -m 
> multiport --dport 80 -j > ACCEPT iptables -A INPUT -d 200.200.200.9 -p 
> tcp -m multiport --dport 80 -j ACCEPT
>
> # Mail
> iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 25 -j 
> ACCEPT iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport 
> --dport 25 -j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m 
> multiport --dport 25 -j ACCEPT


Se já carregou o modulo multiport, porque não fez o uso dele?



DICA: Estude o protocolo IPV4, ou seja leia a RFC 791.
A falta desse conhecimento e uma das grandes fontes  de consulta em listas e
forums.


> Obrigado,

de Nada.




--
Paulino Kenji Sato


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Archive:
[🔎] BANLkTim5gPrttdZ6XQuzpy4hnd08x57FfA@mail.gmail.com">http://lists.debian.org/[🔎] BANLkTim5gPrttdZ6XQuzpy4hnd08x57FfA@mail.gmail.com
Reply to: