iptables и redmine

[BigBrother]

Возникла проблема. После настройки iptables, новые сообщения в редмайн, стали добавлятся по 10-15 секунд. Обычный просмотр страниц редмайна, происходит быстро. Если разрешить все, то новые сообщения, в редмайн, добавляются быстро. И если к этим правилам, сделать политики по умолчанию ACCEPT, то сообщения так же добавляются быстро. Редмайн висит на 80 порту. Не могу понять, как в данном случаее iptables влияет на работу redmine, а точнее на добавление новых сообщений.
CPU, RAM не нагружены.
Tcpdump показывает приходящие/исходящие пакеты. Только разница в том, что: допустим добавить новое сообщение в редмайн = 30 пакетов. Так вот, если правила выключены и/или по умолчанию политка ACCEPT, то все 30 пакетов приходят и уходят быстро, а с включенными правилами, сначала приходит 4 пакета, потом пауза 10-15 секунд (см. выше) и затем все остальные пакеты.
Не могу понять, почему так происходит, если 80 порт разрешен.. Такое ощущение что-то блокируется, теряется, задерживается или ограничивается.
Пробывал убрать все правила, оставив только 80 и 22 порты. Ситуация не изменилась.

Код: Выделить всё

# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 flags:0x17/0x02 #conn/32 > 10
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 #conn/32 > 20 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x12/0x12 state NEW reject-with tcp-reset
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
DROP       icmp -f  0.0.0.0/0            0.0.0.0/0
sshguard   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80 state ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 state NEW,ESTABLISHED
ACCEPT     udp  --  IP1                   0.0.0.0/0           udp dpt:161 state NEW,ESTABLISHED
ACCEPT     tcp  --  IP2                    0.0.0.0/0           tcp dpt:3690 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 state NEW,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
DROP       icmp -f  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:25 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:8080 state ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0           IP1                  udp spt:161 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0           IP2                   tcp spt:3690 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:3306 state ESTABLISHED

Chain sshguard (1 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state NEW recent: UPDATE seconds: 600 hit_count: 2 name: SSH side: source
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW recent: SET name: SSH side: source
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

[BigBrother]

Вопрос решен. Если кому интересно, то проблема была в том, что редмайн рассылает почтовые уведомления о том, что тема была обновлена (добавлено новое сообщение), пытаясь соединится с smtp сервером, указанным в /etc/redmine/default/email.yml. В моем случае, это smtp.gmail.com, который не был разрешен iptables`ом.
После добавления

Код: Выделить всё

$iptables -A INPUT -i eth0 -p tcp -s smtp.gmail.com -m state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A OUTPUT -o eth0 -p tcp -d smtp.gmail.com -m state --state NEW,ESTABLISHED -j ACCEPT

заработало как надо.

[sash-kan]

который не был разрешен iptables`ом

сначала удивился — зачем запрещать исходящий трафик?
потом осознал, что речь об установленном на машине железнодорожно-рубиновом изделии, и понял — для _таких_ программ это, пожалуй, оправданно…