Toon posts:

[debian]Internet op server traag

Pagina: 1
Acties:

dinsdag 24 september 2002 15:59

Acties:

Verwijderd

Topicstarter
Ik deel mijn internet verbinding met debian 3.0 (kernel 2.2.20).
het probleem is dat als ik iets download op de server (bv. apt-get upgrade) dat dat dan ontzettend traag gaat 1000 b/s ofzo. en als ik hetzelfde doe op een computer achter mijn server dat ik dan netjes 64 kb/s haal...
ik wil weten hoe dit komt en hoe ik het oplos...

dinsdag 24 september 2002 16:06

Acties:
  • active2
  • Registratie: Juni 2001
  • Laatst online: 26-10-2024

active2

Google is your friend

Heeft waarschijnlijk met je routings regels te maken :)

Google, Het mirakel van de 21e eeuw!!!!

dinsdag 24 september 2002 16:09

Acties:

Verwijderd

Heb je niet gewoon in apt een trage debien server ingesteld?

dinsdag 24 september 2002 16:14

Acties:

Verwijderd

Topicstarter
dat zou wel kunnen...
code:
1
2
3
4

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
213.73.132.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         213.73.132.1    0.0.0.0         UG    0      0        0 eth1


even mijn routing tabel ter informatie...

dinsdag 24 september 2002 16:15

Acties:

Verwijderd

Topicstarter
uhmm ThinkGeek... ik weet niet hoor maar het is niet echt logisch om een instelling te maken waarmee je je systeem zou kunnen vertragen... en ik heb apt nog geeneens gedraait omdat het zo traag ging...

dinsdag 24 september 2002 17:39

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 17-05 14:06

deadinspace

The what goes where now?

En je zei net dat het met bijvoorbeeld apt-get upgrade traag ging? Is het downloaden van andere dingen op je server ook traag, of niet?

dinsdag 24 september 2002 17:43

Acties:

Verwijderd

Topicstarter
Ook wget en ftp zijn traag dus het ligt niet aan apt

dinsdag 24 september 2002 17:53

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 17-05 14:06

deadinspace

The what goes where now?

Tligt sowieso niet aan apt, maar hoogstens aan de voor apt ingestelde mirror ;)

Maar als je dus dezelfde file vanaf een snelle server (bijvoorbeeld ftp://galileo.luon.net/pu.../v2.4/linux-2.4.19.tar.gz ) download op zowel je gateway als op een desktop achter je gateway (en dan niet tegelijk maar na elkaar), dan is je gateway dus reproduceerbaar significant trager?

dinsdag 24 september 2002 18:05

Acties:

Verwijderd

Topicstarter
ik heb dat bestandje geprobeerd te downloaden en het verschil is er toch echt wel
64 kb/s op een client en (niet te hard schrikken) 1,75 kb/s op mijn server :(

dinsdag 24 september 2002 19:08

Acties:

Verwijderd

Wat zijn de specs van die server? Hoe groot is je swap partitie? Heb je al gekeken van de load op de server tijdens het downloaden?

dinsdag 24 september 2002 19:22

Acties:

Verwijderd

Topicstarter
systeem specs(hp netserver e45):
PII 233 Mhz
96 Mb ram
2* 4 Gb ide hd
1* 4,2 Gb scsi hd
2* ne2k pci nic's


load van mijn systeem tijdens het downloaden:
code:
1
2
3
4
5

 21:00:51 up 23:13,  3 users,  load average: 0.09, 0.03, 0.01
39 processes: 38 sleeping, 1 running, 0 zombie, 0 stopped
CPU states:   0.4% user,   1.8% system,   0.0% nice,  97.8% idle
Mem:     95252K total,    44560K used,    50692K free,    14656K buffers
Swap:   286232K total,        0K used,   286232K free,    15136K cached

dinsdag 24 september 2002 19:38

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 16:34

Wilke

1,75 KB/s, LOL.... ik weet uit ervaring dat zelfs een 386 SX 25 MHz met FreeBSD nog 800 KB/s kan halen (10 MBit Realtek kaartje). Dus daar zal 't hem niet in zitten vermoedelijk :P

Je routing tabel ziet er OK uit. Je deelt je internetverbinding via de betreffende computer, dus een verkeerd IRQ of iets anders met de hardware kan het ook niet zijn.

Wat zegt 'iptables -L' ?

Edit: Crap nog een 2.2 kernel! ipfwadm -L dan ofzoiets, wat het relevante commando om de huidige forwarding-instellingen weer te geven ook is...

dinsdag 24 september 2002 19:41

Acties:

Verwijderd

Topicstarter
ik doe aan ipchains mar never the less...:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

Chain input (policy DENY):
target     prot opt     source                destination           ports
ACCEPT     all  ------  anywhere             anywhere              n/a
DENY       all  ----l-  127.0.0.0/8          anywhere              n/a
ACCEPT     all  ------  anywhere             255.255.255.255       n/a
ACCEPT     all  ------  192.168.0.0/24       anywhere              n/a
ACCEPT    !tcp  ------  anywhere             BASE-ADDRESS.MCAST.NET/4  any ->
any
DENY       all  ----l-  192.168.0.0/24       anywhere              n/a
ACCEPT     all  ------  anywhere             255.255.255.255       n/a
ACCEPT     all  ------  anywhere             mijnip                n/a
ACCEPT     all  ------  anywhere             213.73.132.255        n/a
DENY       all  ----l-  anywhere             anywhere              n/a
Chain forward (policy DENY):
target     prot opt     source                destination           ports
MASQ       all  ------  192.168.0.0/24       anywhere              n/a
DENY       all  ----l-  anywhere             anywhere              n/a
MASQ       all  ------  192.168.0.0/24       anywhere              n/a
Chain output (policy DENY):
target     prot opt     source                destination           ports
ACCEPT     all  ------  anywhere             anywhere              n/a
ACCEPT     all  ------  anywhere             255.255.255.255       n/a
ACCEPT     all  ------  anywhere             192.168.0.0/24        n/a
ACCEPT    !tcp  ------  anywhere             BASE-ADDRESS.MCAST.NET/4  any ->
any
DENY       all  ----l-  anywhere             192.168.0.0/24        n/a
ACCEPT     all  ------  anywhere             255.255.255.255       n/a
ACCEPT     all  ------  mijnip               anywhere              n/a
ACCEPT     all  ------  213.73.132.255       anywhere              n/a
DENY       all  ----l-  anywhere             anywhere              n/a


(ipchains -L is het met een 2.2.* kernel)

dinsdag 24 september 2002 19:46

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 16:34

Wilke

Verwijderd schreef op 24 september 2002 @ 19:41:
ik doe aan ipchains mar never the less...:
Zag het net te laat, was aan het editen terwijl jij dit postte :)

Goed, kernel 2.2 is voor mij al weer even geleden, maar ik zie nogal wat dingen dubbel staan, hoort dat of zou dat 't kunnen wezen? Voorbeeld:

code:
1
2
3
4
5

Chain forward (policy DENY):
target     prot opt     source                destination           ports
MASQ       all  ------  192.168.0.0/24       anywhere              n/a
DENY       all  ----l-  anywhere             anywhere              n/a
MASQ       all  ------  192.168.0.0/24       anywhere              n/a


Als de policy 'deny' is dan is toch slechts die eerste regel al voldoende? Of zie ik iets over het hoofd? Misschien ook handig om er bij te hebben: je forwarding/masquerading/firewall script (waar deze zooi ingesteld wordt dus), misschien kan iemand daar nog wat mee vinden.

dinsdag 24 september 2002 19:50

Acties:

Verwijderd

Topicstarter
mijn firewall script bestaat op het moment uit 1 regel, ik moet nog een beter script bouwen maar ik wou graag eerst even ftp etc werkend krijgen etc.. en dat is een beetje moeilijk als je 8 jaar moet wachten op je software downloads..
code:
1

ipchains -A forward -s 192.168.0.0/24 -j MASQ

dinsdag 24 september 2002 20:58

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 17-05 14:06

deadinspace

The what goes where now?

Hmm, weirdness :)

Maar je ipchains rule table is wel nogal uitgebreid als je alleen die ene regel gebruikt.
Probeer eens
code:
1
2
3
4
5

ipchains -X
ipchains -F
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -A forward -s 192.168.0.0/24 -j MASQ

In het kort: wis alle user-defined chains, wis alle rules, zet policy van input en output op accept, masquerade.

Het zou kunnen dat -F en -X niet werken en dat die argumenten nodig hebben (ik heb nooit zoveel met ipchains gedaan).

woensdag 25 september 2002 16:38

Acties:

Verwijderd

Topicstarter
deadinspace.. jou code levert wel een stuk schonere ipchains op.. maar downloaden gaat nog steeds ontzettend traag :'( ik word hier een beetje moe van...

woensdag 25 september 2002 18:37

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 17-05 14:06

deadinspace

The what goes where now?

Geef eens de output van "ifconfig", en kijk eens of je in /var/log/messages iets boeiends kunt ontdekken...

woensdag 25 september 2002 19:06

Acties:

Verwijderd

Topicstarter
mijn ifconfig output :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

eth0      Link encap:Ethernet  HWaddr 52:54:AB:2B:C6:19
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:56616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:57157 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:7893126 (7.5 MiB)  TX bytes:30923682 (29.4 MiB)
          Interrupt:9 Base address:0xf8e0

eth1      Link encap:Ethernet  HWaddr 52:54:AB:1F:DF:C4
          inet addr:MIJNIP Bcast:213.73.132.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3906065 errors:0 dropped:0 overruns:0 frame:1328
          TX packets:44933 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:261468271 (249.3 MiB)  TX bytes:6143071 (5.8 MiB)
          Interrupt:10 Base address:0xf8c0

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:3924  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:560 (560.0 b)  TX bytes:560 (560.0 b)

en misschien boeiende dingen uit /var/log/messages:
code:
1
2
3

Sep 24 01:24:25 debian kernel: Packet log: input DENY eth1 PROTO=17 192.168.0.30:137 mijnip:137 L=78 S=0x00 I=61743 F=0x0000 T=113 (#6)
Sep 24 01:24:26 debian kernel: Packet log: input DENY eth1 PROTO=17 192.168.0.30:137 mijnip:137 L=78 S=0x00 I=64197 F=0x0000 T=113 (#6)
Sep 24 01:24:28 debian kernel: Packet log: input DENY eth1 PROTO=17 192.168.0.30:137 mijnip:137 L=78 S=0x00 I=1307 F=0x0000 T=113 (#6)

192.168.0.30 ??? die heb ik helemaal niet in mijn netwerk.....
en dat is 't

woensdag 25 september 2002 20:07

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 17-05 14:06

deadinspace

The what goes where now?

Die 192.168.0.30 komt ook vanaf eth1 (je internet interface), van en naar de netbios poort.
Iemand heeft dus of een vreselijk verkeerd ingestelde Windows of Samba, of probeert van buitenaf jouw samba te benaderen terwijl hij doet alsof hij van je interne netwerk komt.
Magoed, de Linux kernel IP spoofing protection ziet dat en dropt ze (vandaar dat ze in je log staan).

Maar ik zie weinig vreemds aan de output van ifconfig: geen errors, dropped packets, collisions of whatever, en lo is braaf up (als lo down is kun je rare problemen krijgen).

Als je je firewall helemaal leeg maakt met de regels die ik gaf, maar dan niet die forwarding rule uitvoert, heb je het probleem dan ook?
Hoe ziet nu btw je firewall ruleset eruit (doe maar ipchains -L -v, die laat nog wat meer zien als het goed is)?

woensdag 25 september 2002 21:54

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Wat zijn everigens de resultaten van ping acties. Probeer eens een ip van je provider te pingen van af je server en vanaf je internet pc. Controleer ook de lijn tussen je server en de internet pc's.
Eventeel met verschillende packet grote (ping -s ...).
deadinspace schreef op 25 september 2002 @ 20:07:
[...]
Magoed, de Linux kernel IP spoofing protection ziet dat en dropt ze (vandaar dat ze in je log staan).
Dat was nr 6 van zijn firewall script rules die hij op jouw aanraden geflushed heeft :X

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

woensdag 25 september 2002 22:35

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 17-05 14:06

deadinspace

The what goes where now?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

[marcelm@nothing marcelm]$ grep -A 10 rp_filter /usr/src/linux/Documentation/filesystems/proc.txt 
rp_filter
---------

Integer value determines if a source validation should be made. 1 means yes, 0
means no.  Disabled by default, but local/broadcast address spoofing is always
on.

If you  set this to 1 on a router that is the only connection for a network to
the net,  it  will  prevent  spoofing  attacks  against your internal networks
(external addresses  can  still  be  spoofed), without the need for additional
firewall rules.
[marcelm@nothing marcelm]$

Gaat over /proc/sys/net/ipv4/conf/*/rp_filter (2.4 kernel, misschien staattie op 2.2 op een andere plaats).

Geen firewall rule voor nodig dus.
Verder doet het er niet zo toe, want zijn samba staat nu toch open voor eth1 (vanwege extreem kale firewall).
Pagina: 1
Reageer