Linux-Proxy bremst die Verbindungen aus

[Wurstpelle]

Hi zusammen,

habe mir einen Host (Debian 5, 2 x GBit Ethernet, Atom 270, 2GB RAM) zusammengeschraubt, der nun als transparenter Proxy (Squid) zwischen dem Intranet und dem DSL-Router hängt. Nachdem mein erster Versuch mit Squid die Verbindungen arg ausgebremst hatte, habe ich die Squid-Umleitung nun wieder abgeschaltet, der Proxy steht also komplett auf Durchzug. Und bremst immer noch!!!!! Habe ich etwa einen Fehler in meine Gateway-Script? Hier der Code (beachte: nat für squid ist deaktiviert).

Code:

#!/bin/sh
# squid server IP
SQUID_SERVER="192.168.0.254"
# Interface connected to Internet
INTERNET="eth1"
# Interface connected to LAN
LAN_IN="eth0"
# Squid port
SQUID_PORT="3128"
# DO NOT MODIFY BELOW
# Clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
# set this system as a router for Rest of LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
## iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
# if it is same system
## iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
# DROP everything and Log it
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

Dieses Skript wird nach jedem Booten ausgeführt.

Oder gibt vielleicht noch einen ganz anderen Grund für die Performance-Verluste? Oder ist das etwa "ganz normal" beim Einsatz eines Gateways??

Ach ja, um das "Ausbremsen" zu konkretisieren: Das Netz verzögert ca 2-3 Sekunden beim Abruf von Websiten, TCP-Verbindungen brechen auch öfter komplett ab und die Geschwindigkeit liegt bei gefühlten 50% im Vergleich zu vorher (ganz ohne Gateway).

Zuerst hatte ich a Squid im Verdacht... es war zwar mit squid noch mal ein gutes Stück langsamer, aber ohne sollte es doch eigentlich flutschen *grübel*

[f_m]

Squid sollte wenn er richtig konfiguriert ist einen kleineren oder größeren Vorteil (je nach Nutzung und Größe des Intranets dahinter) durch das Cachen bringen. Schon das Gateway selbst durchgecheckt? Speicher vollgelaufen oder ähnliches?

[Henning14]

überprüfe mal die Name Server Einträge. Sieht so aus, als würden da Name Server Abfragen eine Weile hin-und-her geroutet, bis sie dann endlich mal beantwortet werden können.
1) Trage als Nameserver bitte mal den Deines Providers ein, bzw prüfe das alles mal.
2) Prüfe die notwendigen Einräge in /etc/hosts für Dein lokales LAN !

Evtl prüfst Du einfach mal, ob Du einen Unterschied feststellst, wenn Du einen beliebigen Server mit seiner IP Adresse abfragst/anpingst/drauf_surfst statt mit seinem Namen.
Wenn da deutliche Unterschiede kommen, kennen wir die Ursache ;-)

Squid würde sich nicht so radikal bemerkbar machen, selbst wenn der Proxy ein wenig dämpfen sollte ....

[Wurstpelle]

überprüfe mal die Name Server Einträge. Sieht so aus, als würden da Name Server Abfragen eine Weile hin-und-her geroutet, bis sie dann endlich mal beantwortet werden können.
1) Trage als Nameserver bitte mal den Deines Providers ein, bzw prüfe das alles mal.
2) Prüfe die notwendigen Einräge in /etc/hosts für Dein lokales LAN !

Evtl prüfst Du einfach mal, ob Du einen Unterschied feststellst, wenn Du einen beliebigen Server mit seiner IP Adresse abfragst/anpingst/drauf_surfst statt mit seinem Namen.
Wenn da deutliche Unterschiede kommen, kennen wir die Ursache ;-)

Squid würde sich nicht so radikal bemerkbar machen, selbst wenn der Proxy ein wenig dämpfen sollte ....

Hi Henning,

vielen Dank für Dein Feedback. Ich habe zwar das Gefühl, dass auch die Download-Rate größerer Dateien im Keller ist (was ja mit DNS nix zu tun haben dürfte), aber ich bin mir auch nicht 100 pro sicher ob meine DNS-Settings in Ordnung sind.

Auf den Clients im Intranet ist der Windows-Domänenserver (192.168.0.222) als DNS-Server für interne und externe Domains eingetragen. Externe Domainanfragen leitet dieser an den DSL-Router (früher) bzw. an meinen Proxy (jetzt) weiter.

Auf meinem neuen Proxy schaut es so aus:
/etc/hosts

Code:

127.0.0.1       localhost
192.168.0.222   dc.mydomain.local    domaincontroller
192.168.0.254   proxy.mydomain.local   proxy
192.168.1.254   dsl_gate

/etc/resolv.conf

Code:

nameserver 192.168.1.254  # DSL-Router

Was ganz anderes: ich habe mittlerweile in einem Forum gelesen, dass es eventuell helfen könnte, wenn ich IPv6 ausschalte. Wie weiss ich, ob ich IPv6 überhaupt aktiviert habe und wenn ja, wie bekomme ich es raus?

An Squid wage ich mich erst wieder ran, wenn der "Durchzug-Proxy" flott läuft. Hier komme ich dann auch sicherlich mit der verfügbaren Doku weiter... (hoffentlich)

[Wurstpelle]

Ich habe den internen DNS-Server (192.168.0.222) auch schon testhalber aus der resolv.conf rausgenommen (der Proxy ist ja eigentlich nur für externe Domains zuständig) - macht kein Unterschied :-/

[Strubbl]

Was ganz anderes: ich habe mittlerweile in einem Forum gelesen, dass es eventuell helfen könnte, wenn ich IPv6 ausschalte. Wie weiss ich, ob ich IPv6 überhaupt aktiviert habe und wenn ja, wie bekomme ich es raus?

Code:

modprobe -c|grep net-pf-10

da müsste dann was von ipv6 stehen

[Wurstpelle]

ok, habe IPv6 nun abgeschaltet und neu gebootet... es wird besser....

[Wurstpelle]

ifconfig:

Code:

eth0      Link encap:Ethernet  Hardware Adresse 00:30:18:a7:b4:7f
          inet Adresse:192.168.0.254  Bcast:192.168.0.255  Maske:255.255.255.0
          inet6-Adresse: fe80::230:18ff:fea7:b47f/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:183512 errors:0 dropped:0 overruns:0 frame:0
          TX packets:243405 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:21768012 (20.7 MiB)  TX bytes:224951621 (214.5 MiB)
          Interrupt:18

eth1      Link encap:Ethernet  Hardware Adresse 00:30:18:a7:b4:80
          inet Adresse:192.168.1.100  Bcast:192.168.1.255  Maske:255.255.255.0
          inet6-Adresse: fe80::230:18ff:fea7:b480/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:237605 errors:0 dropped:0 overruns:0 frame:0
          TX packets:179041 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:224110098 (213.7 MiB)  TX bytes:21578435 (20.5 MiB)
          Interrupt:19 Basisadresse:0x2000

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:560 (560.0 B)  TX bytes:560 (560.0 B)

route:

Code:

192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
localnet        *               255.255.255.0   U     0      0        0 eth0
default         dsl_gate        0.0.0.0         UG    0      0        0 eth1

Fehlt da vielleicht einfach noch ein Routing-Eintrag? (eth0 geht ins Intranet, eth1 ist an den DSL-Router angeschlossen)

[Wurstpelle]

Ich glaube das ipv6-Abschalten hat was gebracht. Die Übertragungsrate ist nun definitiv schneller *yeah* Ich denke, was bleibt ist ein DNS-Problem: immer wenn ich neue Seiten das erste mal aufrufe, habe ich 5-15 Sekunden Verzögerung.

Wo ich nun ne gute Antowrt gebrauchen könnte: Wie kann ich am besten (von meinem XP-Client aus) analysieren, wo diese Warteschleife entsteht? (Bei traceroute z.B. geht es ja erst nach der Namensauflösung los). Kann ich irgendwie von der cmd-Konsole aus nachverfolgen, wo genau die Namensauflösung ins Stocken kommt???

[Henning14]

Hier liegt der Vehler: Du hast in der resolv.conf Dein Gateway eingetragen.

/etc/resolv.conf
nameserver 192.168.1.254 # DSL-Router

Da sollte aber eine IP Adresse des Nameservers Deines Providers drin stehen.

Wenn das dann flutscht, kannste ja mal gucken, obs über den Umweg Deines NameServers auch noch flutscht.