在最近的更新和安全“强化”之后,位于 120Mbps 电缆调制解调器连接后面的 CentOS6 NAT 路由器/防火墙似乎将吞吐量限制在 30Mbps。
在更新和强化之前,我获得了 90Mbps。
我检查了 CPU 和网络使用情况,这些似乎都不是限制因素。 tc没有显示任何流量整形正在进行,我不知道如何进一步解决这个问题。
我有一个 CentOS 6 系统作为 NAT 路由器/防火墙在 Comcast 电缆调制解调器后面运行,它也作为 NAT 路由器运行
1000 100
eth1 eth0
Internet-------Modem-------------CentOS6-----------------LAN
10.0.0.0/24 192.168.10.0/24
双 NAT 是 CentOS 系统的遗产,以前曾作为以桥接模式运行的时代华纳电缆调制解调器后面的路由器/防火墙。当我进入 Comcast 领域时,我打算将调制解调器切换到桥接模式,但从未尝试过,而且双 NAT 从未引起过问题。我获得了 90Mbps 的吞吐量,没有任何问题。
在准备在 Comcast 调制解调器上转换为桥接模式时,我决定通过禁用一些不需要的服务并执行“yum update”来“强化”CentOS 系统,我已经有一段时间没有这样做了。加固后,我进行了速度测试,惊讶地发现吞吐量低至 30Mbps。
我尝试像这样将我的主桌面系统直接连接到调制解调器
eth1 eth0
Internet---Modem-------------CentOS6-----------------LAN
| 10.0.0.0/24 192.168.10.0/24
|
+--------------Desktop(Win7)
运行 speedtest.net 验证了我的 Comcast 连接能够达到 120Mbps,因此我在 CentOS 系统上更改的某些内容导致吞吐量上限为 30Mbps。每次我从 LAN(在 CentOS 系统后面)进行速度测试时,我都会得到一个在 30Mbps 的 1-2% 内的值,所以几乎感觉有些东西在人为地限制吞吐量。
我想也许流量整形以某种方式启用了,但tc似乎表明它不活跃
[jhg@perseus …我运行 Centos 6.5 服务器,该服务器具有高度限制性的iptables规则集,仅允许少数 TCP 端口(总共 8 个)传入流量,并阻止所有传入的未经请求的 UDP 流量。
我最近从源代码构建了 snort 2.9.7.0 并正在运行它policy_mode:inline-test
我注意到它对被我的iptables配置阻止的数据包发出警报,从中我推测它之前已将其自身插入到处理链中iptables。
我已经阅读了手册并进行了多次网络搜索,但没有找到任何提及此行为的信息,也没有找到如何配置它以使其在 iptables之后运行的信息。我不认为我需要有关无论如何都会被阻止的流量的警报。
我是否有理由希望看到这些警报,如果没有,是否有办法进行设置,这样我就不会收到 iptables 阻止的数据包的警报?