4. Проброс портов и тормоза

Проброс портов и тормоза

  • A

    Добрый день. такая проблема: есть сервер с Сайнсом(2.1.3) белый IP, всё как надо, за ним находиться веб сервер, пробошен порт 80 - сайт работает.
    НО!!! - очень медленно, много картинок - загружаются очень долго или вообще не грузятся
    Если подключить в Сайнсу по Ovpn и обращяться на прямую к веб серверу - скорость в разы больше и всё норм грузится.
    Как победить притормаживания Сайнса??

    0
  • W

    Какие пакеты еще установлены на pf ? Задействован ли шейпер\limiter ?
    Покажите правила fw на LAN.

    0
  • A

    шейперов\лимитеров нет, есть прозрачная прокся

    0
  • W

    Покажите правила fw на LAN, WAN.

    0
  • A

    не могу картинки добавить
    500 ошибка
    пакеты

    lan

    wan

    0
  • W

    пробошен порт 80 - сайт работает.

    В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

    Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

    И проверяете вы извне или из локальной сети, обращаясь на внешний адрес pfsense ?

    P.s. На WAN имеются дублирующиеся правила. Обратите на это внимание.
    P.p.s. На чем крутится Web-сервер - apache, nginx, iis etc. ?

    0
  • A

    @werter:

    пробошен порт 80 - сайт работает.

    В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

    Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

    Пятое правило снизу порт 80 и последне правило 8080
    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)
    проверяю из вне(в локалке нормально)

    Web-фейс Сайнса не менялся

    0
  • D

    @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?

    0
  • A

    @dr.gopher:

    @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?

    Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

    0
  • D

    @artem:

    @dr.gopher:

    @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?

    Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

    Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

    0
  • A

    @dr.gopher:

    @artem:

    @dr.gopher:

    @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?

    Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

    Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

    Изменил порт Веб морды Сайнса на 88 –> результат тотже, тормоза на отдачю , тормозить HTTP и FTP

    0
  • W

    Глупая мысль, а провайдер не режет случаем?
    Попробуйте временно сменить pf на какой-нибудь tp-link, d-link и проверить на нем.

    0
  • D

    присоединяюсь к вопросу тока у меня еще хуже с внешнего IP не могу достучатся до внутреннего сайта, ну и по аналогии и до SQL сервера

    помогите кто чем может
    скрины FW чето не могу отправить но грубо

    Firewall: Rules
    IPv4 TCP               * * 192.168.90.238 80 (HTTP) * none   NAT 
    IPv4 TCP        * * 192.168.90.238 443 (HTTPS) * none         NAT
            IPv4 TCP/UDP       * * 10.194.90.240 1433         * none   NAT

    внешний IP 85.23.15.109 даже не пингуется с инета

    ссылка на картинку http://i61.fastpic.ru/big/2014/0623/8a/73c920efddb3d93a1d1a47827696c88a.png

    0
  • W

    @ delari

    1.

    C:\Users\user>ping 85.23.15.109

    Обмен пакетами с 85.23.15.109 по с 32 байтами данных:
    Ответ от 85.23.15.109: число байт=32 время=94мс TTL=48
    Ответ от 85.23.15.109: число байт=32 время=90мс TTL=48

    Статистика Ping для 85.23.15.109:
        Пакетов: отправлено = 2, получено = 2, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 90мсек, Максимальное = 94 мсек, Среднее = 92 мсек
    Control-C
    ^C

    Как бы "не все однозначно". И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

    2. У вас на WAN - "белый"  адрес (динамика\статика) ? Какой тип подключения исп-ся? Не исп-ся ли несколько провайдеров?

    3. Все ли ваши машины имеют шлюзом локальный адрес pfsense ?

    4. Firewall: Rules
        IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
        IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
            IPv4 TCP/UDP        *    *    10.194.90.240   1433            *    none        NAT

    Почему сети разные? Их несколько или это последствия типа вашего подключения с Сети (т.н. Dual\Russian) ?

    В общем - одни вопросы…

    P.s. О-о-о, вы из Финляндии?

    0
  • D

    85.23.15.109 это не мой адресс = написал просто для примера мой 88.86.221.109

    2. WAN статичный адрес
    3.IP шлюз маска днс днс2  - без логина и пароля (не помню тип подключения)
    4. 1 провайдер - инсис
    5 идет по схеме    Inet ->>> pfsense –-> static adress clienta 192.168.0. 238
                                                                  ->  static adress clienta 240 и т.д.

    измени у себя 10.194.90. на 192.168.90 не поменял просто
    Firewall: Rules
        IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
        IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
            IPv4 TCP/UDP        *    *    192.168.90.240    1433            *    none        NAT

    0
  • W

    1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

    2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

    В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

    P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
    Потому как постоянный реальный IP у вашего пров-ра - платный.

    0
  • D

    @werter:

    1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

    2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

    В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

    P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
    Потому как постоянный реальный IP у вашего пров-ра - платный.

    WAN на pfsense имеет реальный адрес - 8х.х.х.х

    добавил правило, разрешающее ICMP на WAN address пинг пшл -  коннекта нету
    и то что вы выделили жирным шрифтом это просто моя опечатка в правилах все адреса из одной сети 192.168.х.х

    0
  • W

    1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

    2. коннекта нету

    Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

    P.s.

    мой 88.86.221.109

    Не пингуется!

    Покажите правила на WAN.

    0
  • D

    @werter:

    1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

    2. коннекта нету

    Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

    P.s.

    мой 88.86.221.109

    Не пингуется!

    Покажите правила на WAN.

    да всех машинах что есть прописано в ручную
    ip 192.168.0.x
    255 255 255 0
    шлюз - ip pfsense

    в инет они все выходят нормально

    0
  • W

    http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

    Потому как эти ваши правила не связаны с Port forwarding!

    P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.

    0
  • D

    @werter:

    http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

    Потому как эти ваши правила не связаны с Port forwarding!

    P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.

    удалил не нужные хотя они не мешали

    новый скрин FW

    http://i61.fastpic.ru/big/2014/0623/ef/0346397f99aa8a7a9c9ac8a9bb4048ef.png

    при таких правилах пинг идет, но по WAN сайт внутренний не открывает

    http://i64.fastpic.ru/big/2014/0623/c2/e39cec72a08d15aa555032b160c1b1c2.png

    0
  • W

    http://i63.fastpic.ru/big/2014/0623/6e/fc0cd88d074fe633af909205b2e7196e.jpg

    http://i61.fastpic.ru/big/2014/0623/74/f64579abefedc18b0bf24ce36b759c74.jpg

    0
  • D

    @werter:

    http://i63.fastpic.ru/big/2014/0623/6e/fc0cd88d074fe633af909205b2e7196e.jpg

    http://i61.fastpic.ru/big/2014/0623/74/f64579abefedc18b0bf24ce36b759c74.jpg

    Если я его убираю пинга нет я хз почему + в ридерект таргет требуется указать адрес цели - если я пингую WAN я и указал WAN IP

    0
  • W

    @ delari
    Всё, умываю руки :(

    Поищите в гугле книгу по pf . Есть и на русском.

    0
  • D

    @werter:

    @ delari
    Всё, умываю руки :(

    Поищите в гугле книгу по pf . Есть и на русском.

    Смысл было тогда распрашивать?

    вопрос такой как правильно пробросить порты

    имя WAN - 12.14.14.14

    на локальную машину 192.168.0.100

    по протоколу HTTP (80)

    чтобы с любого компа в инете открыть этот долбаный сайт?

    создаю правило

    WAN TCP * * WAN address 80 (HTTP) 192.168.0.100 80 (HTTP)

    что дальше?

    0
  • W

    Смысл было тогда распрашивать?

    Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

    Учиться, учиться, учиться… (В.И. Ульянов (Ленин))

    0
  • D

    @werter:

    Смысл было тогда распрашивать?

    Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

    Учиться, учиться, учиться… (В.И. Ульянов (Ленин))

    Вы единственный кто расспросил и в конце когда уже по идеи возможные причины неполадки и их решения - умываю руки

    а взять даже первую строку из гугла по перебросу портов в pfsense я и без форума могу
    http://www.thin.kiev.ua/router-os/50-pfsense/399–pfsense-20.html

    0
  • D

    Про проброс портов спрашивают практически через день.
    Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.

    0
  • D

    @dvserg:

    Про проброс портов спрашивают практически через день.
    Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.

    в том то и дело что по скринам из раздела
    Мапинг портов в pfSense 2.x на примере RDP протокола

    все также, но пациент мертв

    0
  • D

    А зачем Вы портфорвард для ICMP делаете, и что за закрашенные адреса в правилах?

    0
  • W

    @ dvserg

    Не поверите - это человек так ICMP разрешает на WAN.

    P.s. Я уже помочь пытался - в этом случае дело неблагодарное.

    0
  • D

    @werter:

    @ dvserg

    Не поверите - это человек так ICMP разрешает на WAN.

    P.s. Я уже помочь пытался - в этом случае дело неблагодарное.

    Ну выход всегда есть - воспользоваться платной помощью по настройке.

    0
  • A

    @werter:

    Глупая мысль, а провайдер не режет случаем?

    Доброго времени суток.
    Отчитываюсь: было выявлено следующее: потери пакетов до Default gateway, в остальных направлениях пинг без проблем.
    После воскресного пинка звонка в саппотр, с разбором полётов, в понедельник утром проблема самоустранилась  ;D
    Всем спасибо, тему можно закрыть.

    P.s.  Тем более что параллельное обсуждение всё равно зашло в тупик….

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy