Задержка TTFB брандмауэра маршрутизатора Ubuntu 12.04

Я использую Ubuntu Server в качестве маршрутизатора / брандмауэра для моей сети по ряду причин. До недавнего времени я с большим успехом использовал для этой цели 10.04. ОС обеспечивает поиск DNS и DHCP с помощью DNSMasq. Недавно я установил новую установку с Ubuntu 12.04, поскольку поддержка 10.04 закончилась.

Сервер предоставляет dns, маршрутизацию и dhcp.

Моя конфигурация довольно проста.

/ и т.д. / сеть / интерфейсы

auto eth0 eth1
iface eth0 inet dhcp #WAN connection
iface eth1 inet static #LAN connection
        address 192.168.16.1
        netmask 255.255.255.0
        network 192.168.16.0
        broadcast 192.168.16.255

команды iptables (в ядре включена маршрутизация)

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X
iptables -A FORWARD -i eth1 -s 192.168.16.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i eth0 -d 192.168.16.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -I INPUT 1 -i eth1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Соответствующие (не по умолчанию) записи в /etc/dnsmasq.conf

listen-address=192.168.16.1
strict-order
interface=eth1
dhcp-range=192.168.16.100,192.168.16.199,72h

И наконец, /etc/resolvconf/resolv.conf.d/tail

nameserver 97.64.168.12
nameserver 8.8.8.8

За исключением изменений resolv.conf в Ubuntu 12.04, это почти идентично моей настройке в 10.04. Однако все устройства в моей сети подвержены очень длительной (2+ секунды) задержке TTFB при просмотре Интернета, за исключением в основном немедленного обновления страницы. По сути, первый запрос страницы имеет эту задержку, но последующие запросы в течение минуты обслуживаются немедленно (в том числе с запросом игнорирования кеша CTRL-F5). Однако подождите минуту или около того, и обновление страницы или действительно любой запрос к любому внешнему ресурсу снова потребует своего времени.

Сначала я ожидал, что это проблема с преобразователем DNS, и подошел к этому как таковой. Однако инструменты разработчика браузера ясно показывают, что запрос DNS почти мгновенен по сравнению со временем TTFB.

Это график типичного запроса к google.com:

Опять же, эта конфигурация в течение многих лет безупречно работала в Ubuntu 10.04, но с 12.04, попытками на одном и том же и другом оборудовании с несколькими новыми установками, это поведение является постоянным и предсказуемым.

Я знаю, что использовать Ubuntu в качестве брандмауэра / маршрутизатора немного странно, но он служит нескольким другим целям, для которых хорошо подходит. Однако сейчас это чистая установка, предоставляющая в мою сеть только эти роли.