forward drop invalid

Тема в разделе "Вопросы начинающих", создана пользователем Mar, 2 фев 2017.

  1. Mar

    Mar Новый участник

    Добрый день!

    Имеется RB1100AHx2. Настроен в соответствии с Решениями (фильтрация трафика часть 3), которые представлены на данном сайте.
    В логах маршрутизатора идёт больше количество дропов от правила:
    add action=drop chain=forward connection-state=invalid disabled=no

    По большей части дроп идет по портам 80 и 443.

    Данное правило по порядку стоит после правил:
    add action=accept chain=forward connection-state=established disabled=no
    add action=accept chain=forward connection-state=related disabled=no
    и далее следует jumpы с доступом по портам для групп адресов.

    Из-за большого количества дропов сайты прогружаются с некоторой задержкой. Просто убрать правило - самое простое и наверное не совсем верное решение.

    Заранее спасибо за Ваши ответы.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    А если правило отключаете, то скорость возрастает?
     
  3. Mar

    Mar Новый участник

    Да, сайты открываются быстрее.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Вообще странно. Invalid обозначает что connection-tracker ничего не знает про это соединение.
    У вас там не Мультиван?
     
  5. Mar

    Mar Новый участник

    Илья, у меня один аплинк висит на первом ether1, локалка на ether2.
    Может есть смысл перевести wan-порт на ether11?
     
    Последнее редактирование: 8 фев 2017
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Не должно влиять, если конечно трафик не под гигабит.
     
  7. Mar

    Mar Новый участник

    Трафик не под гигабит.
    Переставил все на 11 порт - проблема аналогичная. Попробовал переписать правила для групп адресов - не помогло.
    Что еще можно проверить? В какую сторону копать?

    Кстати, на input invalid тоже большой дроп идет.

    Спасибо.
     
  8. Mar

    Mar Новый участник

    Илья, прикрепляю скриншоты того, что происходит:
    1) по 80 порту
    screen1 drop invalid fwd port80 web2.png

    2) по 443 порту
    screen2 drop invalid fwd port443 web2.png
     
  9. Mar

    Mar Новый участник

    Проанализировал снифером трафик и те пакеты, которые идут в дроп. Все они оказались с признаком retransmission. Построил в акуле график зависимости общего количества пакетов от retrasmission.
    Илья, можете подсказать по зависимости - она в пределах нормы? Насколько понимаю полностью от таких пакетов не избавиться, но как они коррелируют до конца не знаю. И могут ли они возникать в избыточном количестве из-за некорректного использования ширины канала (то есть нужно настраивать очереди)?

    Спасибо.
     

    Вложения:

  10. Илья Князев

    Илья Князев Администратор Команда форума

    Вот не готов сказать.