Помощь в разделении трафика в ipfw

[mediamag]

нет прокси нет...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hranitel_y2k]

нет прокси нет...

А что с dns? nslookup на внутренний и на внешний сервер (например 8.8.8.8 )?

[mediamag]

Код: Выделить всё

alpha# nslookup 8.8.8.8
Server:         195.248.191.72
Address:        195.248.191.72#53

Non-authoritative answer:
8.8.8.8.in-addr.arpa    name = google-public-dns-a.google.com.

Authoritative answers can be found from:
8.in-addr.arpa  nameserver = NS2.LEVEL3.NET.
8.in-addr.arpa  nameserver = NS1.LEVEL3.NET.
NS1.LEVEL3.NET  internet address = 209.244.0.1
NS2.LEVEL3.NET  internet address = 209.244.0.2

[mediamag]

Пытался я переписать правила, с учетом deny established. Получилась у меня некая конструкция, но интернет примерно каждые 10 секунд рвется (видно по аське и страничкам) но пинг стабильный. Даже и не знаю куда копать...может кто нибудь подскажет, что я сделал не так?

Код: Выделить всё

$fwcmd add 100 deny ip from any to any frag
$fwcmd add 200 deny icmp from any to any frag
$fwcmd add 300 reject ip from any to not $intnet not verrevpath in
$fwcmd add 1000 allow ip from any to any via lo0
ipfw nat 1 config log ip $extip reset same_ports
$fwcmd add 2800 nat 1 ip from "table(7)" to any out via $extif
$fwcmd add 2900 nat 1 ip from any to $extip in via $extif
$fwcmd add 4050 check-state
$fwcmd add 4400 deny tcp from any to any established
$fwcmd add 6700 allow tcp from $extip to any out via $extif setup keep-state
$fwcmd add 6900 allow tcp from "table(1)" to not $intnet in via $intif setup limit src-addr 500

[mediamag]

Мне кажется, что дело в днс запросах..если я сижу например на mail.ru и бегаю по страницам в рамках домена mail.ru то интернет есть без прерывания, но если я открываю новый сайт, то идет затык секунд 5-10 и после обновления страницы интернет работает. Но как понять в чем бок?? днс запросы в правилах реализованы так:

Код: Выделить всё

$fwcmd add 4500 allow udp from any to $extip 53 in via $extif
$fwcmd add 4600 allow udp from $extip 53 to any out via $extif keep-state
$fwcmd add 4700 allow udp from any 53 to $extip in via $extif
$fwcmd add 4800 allow udp from $extip to any 53 out via $extif keep-state

В named.log есть ошибки такого рода:

Код: Выделить всё

host unreachable resolving

[mediamag]

Если я возвращаю правило

Код: Выделить всё

allow tcp from any to any established

инет становится стабильным и связь не рвется....мистика....может чтото где то переполняется, потом очищается и инет работает.