» Флейм для сисадминов (часть III)

народ я не помойму что в iptables не доразрешенов INPUT есть DROPнутые пакеты и инет подтормаживает солидно... страницу ждут несколько секунд а потом грузятся - такое ощущение что выжидается таймаут тех пакетов, что я дропнул а потом идёт коннект... но вот ЧТО я забыл разрешить в голову не лезет...
Код: -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --sports 80,443 -j ACCEPT

comp 1 печатает по сети на принтер canon, который подключен локально на comp2.
Когда пользователь нажимает на печать, то комп долго думает(comp1) а потом отправляет файл на печать.
с чем это может быть связано?
Comp1 - windows XP pro SP3 (есть полно свободное место на hdd /RAM)
comp2 - windows 7 pro (тоже с ресурсами место нету)

contrafack
а на втором компе - не тупит? скорость печати первой страницы как, норм?

contrafack
Искать не пробовал?

contrafack
Цитата:

комп долго думает(comp1)

Долго это сколько? сколько принтеров установлено на comp1? принтер по умолчанию на comp1 какой? Он включен?

контрафакушка, ты не молчи.. мы тут все в догадках теряемся.. весь моск себе ужо сломали.. :)
ответь нам, как одмин одминам - над чем именно комп1 думает? чевось он в журналах пишет?
интересно также, как именно подключен принтер на компе2? и не засыпает ли он, часом?

TheBarmaley
не отвлекайте человека от работы
ответьте лучше на мой вопрос про фильтр в iptables.
я уже помониторил внешний интерфейс
Код: tcpdump -i eth2 port not 80 and port not 53 and port not 25 and port not 110 and net not 192.168.0.0/16

среда видимо тяжелый день для работы

HomeWell
Если Вам третий день подряд не хочется работать, значит, сегодня среда!

vzar
не знаю как у вас, а у нас понедельник выходной был))) так что эта среда ток 2-ой день)))

Alukardd
Цитата:

понедельник выходной был

И что, реально хотелось работать?

Alukardd
Цитата:

ответьте лучше на мой вопрос про фильтр в iptables

я бы с радостью, да никак-с - так далеко в лес не хожу.. ;)

С месяц, как перешел на новую фирму работать. И вот на тебе - завтра проверка ментами вместе с мелкомягкими. Лицензий, естественно, ни на что нет, - все до меня настраивалось. Где взять столько вазелина?? ))

konungster

А что...сейчас уже предупреждают ? Тогда сочувствую .....

konungster
ты успел что нить подписать?)

если нет, тогда сам успей писульку на руководство написать
мол это все уже было установленно до моего приема на работу

konungster
Цитата:

Где взять столько вазелина?

задай этот вопрос своему директору.. хотя, сопссна, тебе-то он зачем?? ведь
Цитата:

все до меня настраивалось

к тебе какие претензии? все вопросы к командирам.. и к предыдущему "рулю"..

Добавлено:
HomeWell
Цитата:

тогда сам успей писульку на руководство написать

..и после чего пойдёт он с новой работы неспешно и далеко.. может быть - "по этапу не в мягком вагоне".. :)
если его начальство захочет из нового одмина сделать "козла отпущения" - сделают по-любасу..

Alukardd

Цитата:

ответьте лучше на мой вопрос про фильтр в iptables.
я уже помониторил внешний интерфейс
Код:
tcpdump -i eth2 port not 80 and port not 53 and port not 25 and port not 110 and net not 192.168.0.0/16
всё что я там увидел это строчки следующих типов
Код:
STP 802.1d, Config, Flags [none], bridge-id 8000.00:1a:70:8d:b0:12.8014, length 43
IP 77.234.217.x.ntp > webhost.mitht.ru.ntp: NTPv4, Client, length 48
arp who-has 77.234.217.a tell 77.234.217.gw
IP 124.237.121.a.x11 > 77.234.217.x.3128: S 1939275776:1939275776(0) win 16384
IP 77.234.217.x.3128 > 124.237.121.a.x11: R 0:0(0) ack 1939275777 win 0
это примеры записей.

промониторь лог текущего состояния соединений при открытой и закрытой политике ипитаблеса
как-то так
cat /proc/net/ip_conntrack
правила трансляции (прероутинг\построутинг)
и в оутпут всё выпускаем?

perdun
ок помониторю мб даже щас...
PREROUTING - там парочка DNAT'ов во внутрь, а POSTROUTING там простой SNAT наружу для локалки... да и не важен нам SNAT - работаем через proxy!!! в OUTPUT policy вприницпе accept, однако icmp пропускаем только 0,3,4,11,12.

Добавлено:
эх придётся чуть попозжа глянуть - на работе щас ни кто в инет уже не ходит, а дома сидят тут некоторые играются и портят мне все логи - так что пока не доиграют придётся ждать)

Цитата:

по этапу не в мягком вагоне

ну это уж перегнули)

Цитата:

козла отпущения

для это и спрашивал, что он подписывал

пасиб за сопереживание. тут как бы больше не ко мне вопрос, а к руководству главного офиса, но они почему-то отмораживаются, на винду лицензии главный офис прислал. пока что удаляю офис, ставлю ОО, хотя они часто макросы из екселя используют. Админу бывшему спасибо большое, зачем было ставить бат, если есть бесплатный Thunderb, теперь еще ночью на сотне компов и его переставлять.

Хотя я считаю что занимаюсь бессмысленным занятием, все равно найдут к чему прицепиться. Или вообще компы конфискуют "для следствия" и пару дней наш магазинчик не будет работать, а это пару лимонов доларов убытка. На прошлой работе такие дела СБ решала, а тут чтото морозятся.

perdun
ахахахаха
пока всё летает)
пока читал темку зпощенную michaeladm и его настройки фряхи увидел интересные записи...
в общем время покажет те или это строчки что я так искал или нет, но пока я дописал
iptables -I INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
и вроде как усё в порядке... если проблемы возобновятся тогда уже буду мониторить ip_conntrack...

HomeWell

Цитата:

ты успел что нить подписать?)

ничего не подписывал и не собираюсь )

konungster
Цитата:

ничего не подписывал и не собираюсь )

значит для тя самое худшее это увольнение - а огребать будет начальство)

konungster
Цитата:

С месяц, как перешел на новую фирму работать. И вот на тебе - завтра проверка ментами вместе с мелкомягкими. Лицензий, естественно, ни на что нет, - все до меня настраивалось. Где взять столько вазелина?? ))

У тебя еще испытательный срок не закончился?

Цитата:

Или вообще компы конфискуют "для следствия"

Ты главное бекап критичных (важных) данных сделай и домой унеси. На всякий случай.

Mushroomer

Цитата:

У тебя еще испытательный срок не закончился?

у меня его и не было. кстати админов нас двое, ходим по разным дням. Приезжали в его смену.

вопрос:
при получении параметров на Windows XP SP3 от DHCP пинг по символическому имени
например, ping servername, нормально проходит

при установке всех параметров точно таких же но вручную - пинга нет. Не найдено говорит.

почему?

emfs, наверное, потому что DNS. Т.е. его отсутствие.
ipconfig /all сравни при статике и динамике. И найди, так сказать, несколько отличий

Как говорится, I came back.
Спасибо большое Батве и Всем остальным, кто поддерживал и давал советы. Теперь опять будем жить в ру-борде

sarti

спасибо, всё разобрался. дело было в суффиксе

Цитата:

Теперь опять будем жить в ру-борде

rkhodjaev, "будем"? Вас там сколько, девять?