Mailinglist Archive: opensuse-isdn-de (249 mails)
| < Previous | Next > |
Re: [suse-isdn] ip-up zu langsam?
- From: Dieter Kluenter <dieter@xxxxxxxxxx>
- Date: Sun, 18 Feb 2001 11:00:10 +0000 (UTC)
- Message-id: <m0elwwjlzr.fsf@xxxxxxxxxxx>
"Daniel Schroeder" <tadzio@xxxxxxxxxx> writes:
> Hi!
>
> Ich habe hier eine SuSE 7.0 (Kernel 2.2.16) als
> ISDN-Dial-on-Demand-Router mit Masquerading und SuSEfirewall
> laufen.
> Klappt soweit auch ziemlich gut. Wenn ich aber von meiner
> Windows-Kiste mit Outlook ein POP3-Postfach abfragen will, und
> die ISDN-Verbindung steht gerade nicht, kriege ich einen
> Timeout. Wenn ich's dann gleich nochmal probiere, geht's. Mir
> fallen zwei mögliche Gründe dafür ein, und zu beiden habe ich
> 'ne Frage.
>
> a) der POP3-Request (oder vielleicht sogar die DNS-Anfrage für
> den POP3-Server kurz davor?) geht verloren. Kann das sein? Wenn
> ja - was kann man dagegen tun?
Das koennte eine Ursache sein. Ist denn dynamic IP_patch aktiviert ?
Was gibt denn
cat /proc/sys/net/ipv4/ip_dynaddr
aus ? Es sollte '7' sein.
> b) der Router ist ein alter 486DX2/66. Das Script ip-up braucht
> ewig - ungefähr 16 Sekunden. Könnte das Problem ein schlichter
> Time-Out sein? Die Fehlermeldung von Outlook kommt allerdings
> erst etliche Sekunden, nachdem das Script fertig ist. Die
> allermeiste Zeit geht in ip-up für SuSEfirewall drauf. Frage:
> gibt es eine Möglichkeit, SuSEfirewall nicht in ip-up, sondern
> einmal beim Booten laufen zu lassen? Der Versuch, es bei ip-up
> einfach rauszunehmen (natürlich auch für ip-down) und vorher "zu
> Fuß" aufzurufen, hat nicht funktioniert. Ganz so einfach isses
> also wohl nicht. Kann mir jemand helfen?
Wieviele ipchains Regeln sind denn in dem Firewall Script enthalten ?
Wenn es mehr als 50 Regeln sind, ist schon ein Leistungsverlust des
Kernels bemerkbar, bei mehr als 250 werden es ueber 10 %.
Ich habe aus den gleichen Gruenden bei mir (SuSE-6.3, P-100) firewal nicht
ausgefuehrt und stattdessen eigene Filterregeln definiert, die schon
beim booten geladen werden. Suse-firewal muss ja nur in ip-ip
ausgefuehrt werden um die dynamisch zugewiesene Adresse zu laden. Bei
ipchains kann ja auch statt der Adresse ein Interface angesprochen
werden, dann benoetigt man keine Adresse.
> Falls SuSEfirewall unbedingt in ip-up laufen muss - kann man
> Teile davon auslagern? Ich meine, müssen z.B. die ip_masq-Module
> wirklich jedesmal neu geladen werden? Welche Teile brauchen
> eigentlich die meiste Zeit? Ich fürchte ja fast, es verteilt
> sich ziemlich gleichmäßig über das Skript...
Auf meinem ISDN-Gateway habe ich 44 Filterregeln und das ftp_masq
Modul definiert, die schon beim booten geladen werden. Wobei mir
bewusst ist, dass damit eine Sicherheitsluecke entsteht, aber damit
kann ich leben.
Gruss
Dieter
--
Dieter Kluenter | Systemberatung
BFI Rendering und Image Processing
Tel: 040.64861967 | Fax: 040.64891521
> Hi!
>
> Ich habe hier eine SuSE 7.0 (Kernel 2.2.16) als
> ISDN-Dial-on-Demand-Router mit Masquerading und SuSEfirewall
> laufen.
> Klappt soweit auch ziemlich gut. Wenn ich aber von meiner
> Windows-Kiste mit Outlook ein POP3-Postfach abfragen will, und
> die ISDN-Verbindung steht gerade nicht, kriege ich einen
> Timeout. Wenn ich's dann gleich nochmal probiere, geht's. Mir
> fallen zwei mögliche Gründe dafür ein, und zu beiden habe ich
> 'ne Frage.
>
> a) der POP3-Request (oder vielleicht sogar die DNS-Anfrage für
> den POP3-Server kurz davor?) geht verloren. Kann das sein? Wenn
> ja - was kann man dagegen tun?
Das koennte eine Ursache sein. Ist denn dynamic IP_patch aktiviert ?
Was gibt denn
cat /proc/sys/net/ipv4/ip_dynaddr
aus ? Es sollte '7' sein.
> b) der Router ist ein alter 486DX2/66. Das Script ip-up braucht
> ewig - ungefähr 16 Sekunden. Könnte das Problem ein schlichter
> Time-Out sein? Die Fehlermeldung von Outlook kommt allerdings
> erst etliche Sekunden, nachdem das Script fertig ist. Die
> allermeiste Zeit geht in ip-up für SuSEfirewall drauf. Frage:
> gibt es eine Möglichkeit, SuSEfirewall nicht in ip-up, sondern
> einmal beim Booten laufen zu lassen? Der Versuch, es bei ip-up
> einfach rauszunehmen (natürlich auch für ip-down) und vorher "zu
> Fuß" aufzurufen, hat nicht funktioniert. Ganz so einfach isses
> also wohl nicht. Kann mir jemand helfen?
Wieviele ipchains Regeln sind denn in dem Firewall Script enthalten ?
Wenn es mehr als 50 Regeln sind, ist schon ein Leistungsverlust des
Kernels bemerkbar, bei mehr als 250 werden es ueber 10 %.
Ich habe aus den gleichen Gruenden bei mir (SuSE-6.3, P-100) firewal nicht
ausgefuehrt und stattdessen eigene Filterregeln definiert, die schon
beim booten geladen werden. Suse-firewal muss ja nur in ip-ip
ausgefuehrt werden um die dynamisch zugewiesene Adresse zu laden. Bei
ipchains kann ja auch statt der Adresse ein Interface angesprochen
werden, dann benoetigt man keine Adresse.
> Falls SuSEfirewall unbedingt in ip-up laufen muss - kann man
> Teile davon auslagern? Ich meine, müssen z.B. die ip_masq-Module
> wirklich jedesmal neu geladen werden? Welche Teile brauchen
> eigentlich die meiste Zeit? Ich fürchte ja fast, es verteilt
> sich ziemlich gleichmäßig über das Skript...
Auf meinem ISDN-Gateway habe ich 44 Filterregeln und das ftp_masq
Modul definiert, die schon beim booten geladen werden. Wobei mir
bewusst ist, dass damit eine Sicherheitsluecke entsteht, aber damit
kann ich leben.
Gruss
Dieter
--
Dieter Kluenter | Systemberatung
BFI Rendering und Image Processing
Tel: 040.64861967 | Fax: 040.64891521
| < Previous | Next > |