[问题求助]Iptables问题，udp协议一进来网络非常慢 [复制链接]

今天公司突然网络慢了起来，大概有半个小时的时间，只要公司有人下电影，用ud.p协议了，网络就会这样，而且还会.经常断网。但是没人.下载的时候网络一点问题没有，请问大家有什么好办法解决么？.
[.root@cgogo-gw root]# iptables-.save 服务器
# Generated by iptables-save v1..2.8 on Thu .Oct 11 17:30:18 2007健康
*nat
REROUTING ACCEPT [239910:13608397]http://upload.bbs.csuboy.com/Mon_1004/126_6627_e3d115ab71927ac.gif[/img]
OSTROUTING ACCEPT [854:46385]http://upload.bbs.csuboy.com/Mon_1004/126_6627_e3d115ab71927ac.gif[/img]电脑
:OUTPUT ACCEPT .[155:14.077]电影
-A PREROUTING -d 21.9.142.192.187 -p tcp -m tcp --dport 8899 -j D.NAT --to-destination 192.168.1.4:33.89 .
-A PREROUTIN.G -d 219.142.192.187 -p tcp -m tcp --dport 54886 -.j DNAT --to-dest.ination 192.168.1.4:54886 .
-A PREROUTING -d 219.142.192.187 -p tcp -m tcp --d.port 888.7 -j DNAT --to-destinatio.n 192.168.1.120:3389 .
-A PREROUTING -d 219.14.2.192.187 -p tcp -m tcp --dpor.t 5678 -j DNAT --to-desti.nation 192.168.1.24:5678              汽车
-A PRERO.UTING -d. 219.142.192.187 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1..24:8080 (        游戏          )
-A PREROUTING -d 219.142.192..187 -p tcp -m tcp --dpo.rt .7878 -j DNAT --to-destination 192.168.1.3:22 外贸
-A POSTROUT.IN.G -o eth1 -j SNAT --to-source 219.142.192.187 外贸
-A POSTROUTING -d 192.168.1.120 -p tcp -j SNAT --to-s.our.ce 192.168.1.1 域名
-A POSTROUTING -d 192.168.1.4 -p tcp -j S.NAT --to-sou.rce 192.168.1.1 .
-A POSTROUTING -d 192.168.1.4 -p udp -.m udp --dport 25122 -j SNA.T. --to-source 192.168.1.1     美容
-A POSTROUTING -d .192.168.1.24 -p tcp -j SNAT --to-s.ource 192.168.1.1             杀毒
-A POSTR.OUTING -d 192.168.1.2.4 -p tcp -m tcp -j SNAT --to-sour.ce 192.168.1.1 域名
-A POSTROUTING -d 192.168.1.3 -p tcp -j SNAT --to-source 192...168.1.1 .
COMMIT
# Completed on Thu Oct 1.1 17:30:18 2.007              乙肝
# Generated by iptable.s-save v1.2.8 on T.hu Oct 11 17:30:18 2007.
*filter
:INPUT D.ROP. [63380:4446007].
:FORWARD ACCE.PT [5.808218:3720266588].
:.OU.TPUT ACCEPT [29832:4335643]虚拟主机
-A INPUT -i lo -j ACCEPT.               乙肝
-A INPUT -s 192.168.1.0/255.255..2.55.0 -i eth0 -p icmp -j ACCEPT           婚庆
-A INPUT -m sta.te --state RELATED,ESTA.BLISHED -j ACCEPT .
-A INPUT -s 203.81..20.253 -i eth1 -p tcp -m tcp --dport 22 -j. ACCEPT 投资
-A INPUT -s 192..168.1.0/255.255.255.0 -i eth0 -p tcp. -m .tcp --dport 80 -j ACCEPT     健康
-A ..INPUT -s 192.168.1.0/255.255.255.0 -i. eth0 -p udp -m udp --dport 53 -j ACCEPT            鲜花
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p udp -.m udp --dport 53 -j ..ACCEPT 电脑
-A INPUT -s .192.168.1.0/2.55.255.255.0 -i eth0 .-p tcp -m tcp --dport 53 -j ACCEPT 电脑
-A INP.UT -s 192.168.1.0./255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j. ACCEPT .
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth.0 -p tcp. -m tcp --dport 53 -j .ACCEPT 域名
-A F.ORWARD .-s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT .
-A FOR.WARD -s 192.168..1.4 -j ACCEPT     健康
-A. FO.RWARD -d 192.168.1.4 -j ACCEPT <性病>
-A FORWARD. -s 192..168.1.8 -j ACCEPT 虚拟主机
-A FORWA.RD -d 192.168.1.8 -j ACCEP.T 虚拟主机
-A .FORWARD -s 19.2.168.1.110 -j ACCEPT .
-A FO.R.WARD -s 192.168.1.203 -j ACCEPT .
-A FORWARD -s 192.168.1.120. -j. ACCEPT (广告)
-A FORWA.RD -d 192..168.1.120 -j ACCEPT 外贸
-A FORWARD .-d 192..168.1.203 -j ACCEPT               乙肝
-A. FORWARD -s. 192.168.1.52 -j ACCEPT .
-A FORWAR.D -d 192.168.1.5.2 -j ACCEPT .
-.A .FORWARD -s 192.168.1.177 -j ACCEPT 教育
-A. FORWARD -d 192.168.1.177 -j ACC.EPT             杀毒
-A FORWARD -p udp -m udp --d.po.rt 53 -j ACCEPT              电子
-A FORWARD -p udp -m u..dp --dport 123 -j ACCEPT [成人用品]
-A .FO.RWARD -p udp -m udp --dport 25122 -j ACCEPT              汽车
-A FORWARD -p udp .-m udp --sport 53 -j ACCEPT ..
-A FORWARD -s 1.92.168.1.244 -p udp -m udp .-j ACCEPT [成人用品]
-A F.ORWARD. -s 192.168.1.181 -p udp -m udp -j ACCEPT 服务器
-A FORWARD -d 192.168.1.244 -p. udp -m udp -j AC.CEPT .
-A FOR.WAR.D -d 192.168.1.181 -p udp -m udp -j ACCEPT             杀毒
-A FOR.WARD -p udp -m udp .-j DROP .
COMMIT
# Completed. on Thu Oct 11 17:.30:18 2007健康
[root@.cgogo-gw root]#.

QOS限速。或者屏蔽某些UDP端口。

比如　UDP的 15000

QUOTE:原帖由 ssffzz1 于 2007-10-11 21:10 发表
QOS限速。或者屏蔽某些UDP端口。

BZ我iptables不是很熟，请问大概应该怎么做？UDP端口是被硬件防火墙全部阻止的，我还应该怎么做？

不懂，帮顶

简单的配置方法是vi /etc/sysconfig/iptables文件，在里面找到这样的一行：

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT

在这一行的前面加上要打 开的端口如20、23、80：

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 20:23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT

保存文件后，跑到/etc/init.d目录下执行：

./iptables restart

QUOTE:原帖由 echo2003 于 2007-10-12 09:39 发表
简单的配置方法是vi /etc/sysconfig/iptables文件，在里面找到这样的一行：

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT

在这一行的前面加上要打 开的端口如20、23、80：

...

那我把防火墙关了不是更好。。。我要的是解决方法。。但是不是关防火墙啊。。

你的系统是什么版本啊

QUOTE:原帖由 echo2003 于 2007-10-12 09:45 发表
你的系统是什么版本啊

这是网关的配置，AS4，你让我开那多端口干嘛。。。如果我真开了。会被主管骂死

我在防火墙的filter表--FORWARD链中DROP掉了udp > 1024以上的所有端口

[ 本帖最后由 kevin.tan 于 2007-10-12 10:05 编辑 ]