Добрый день! Имеется RB1100AHx2. Настроен в соответствии с Решениями (фильтрация трафика часть 3), которые представлены на данном сайте. В логах маршрутизатора идёт больше количество дропов от правила: add action=drop chain=forward connection-state=invalid disabled=no По большей части дроп идет по портам 80 и 443. Данное правило по порядку стоит после правил: add action=accept chain=forward connection-state=established disabled=no add action=accept chain=forward connection-state=related disabled=no и далее следует jumpы с доступом по портам для групп адресов. Из-за большого количества дропов сайты прогружаются с некоторой задержкой. Просто убрать правило - самое простое и наверное не совсем верное решение. Заранее спасибо за Ваши ответы.
Вообще странно. Invalid обозначает что connection-tracker ничего не знает про это соединение. У вас там не Мультиван?
Илья, у меня один аплинк висит на первом ether1, локалка на ether2. Может есть смысл перевести wan-порт на ether11?
Трафик не под гигабит. Переставил все на 11 порт - проблема аналогичная. Попробовал переписать правила для групп адресов - не помогло. Что еще можно проверить? В какую сторону копать? Кстати, на input invalid тоже большой дроп идет. Спасибо.
Проанализировал снифером трафик и те пакеты, которые идут в дроп. Все они оказались с признаком retransmission. Построил в акуле график зависимости общего количества пакетов от retrasmission. Илья, можете подсказать по зависимости - она в пределах нормы? Насколько понимаю полностью от таких пакетов не избавиться, но как они коррелируют до конца не знаю. И могут ли они возникать в избыточном количестве из-за некорректного использования ширины канала (то есть нужно настраивать очереди)? Спасибо.