Problèmes Tenue Charge Iptables

["Benjamin RIOU" <pandolphe@pandolphe-vision.net>]

Bonjour à tous,

Je suis nouveau sur cette mailling list, donc je me présente :
Benjamin Riou - Etudiant en Réseaux & Telecoms 1 à l'IUT de Lannion

... et je viens vous exposer un problème auquel je suis confronté
depuis quelques temps.

Voila. Je partage un accès à internet avec mes amis à la cité universitaire.
Pour se faire, j'ai un PII 350mhz w/ 128 de ram et 2 cartes réseau
10/100 en PCI (Une Netgear et une Realtek).

J'utilise  IPTABLES pour le partage de la connexion avec un controle
par adresse mac, puis un   filtrage de ports (sont dispo le 80, 443,
53, 20, 21).

Il se trouve, que, la machine ne tient pas la charge passé 3
utilisateurs qui surfent (et ne font pas de P2P).

J'ai testé 6 cartes réseaux différentes (en passant de la ConnectLand
à la 3Com), et j'ai testé Debian Stable (noyau 2.4) et Ubuntu server
(noyau 2.6).

Toujours le même probleme : la machine admet une montée en charge des
clients, puis arrête tout forwarding durant environ une minute puis
repart en charge.
Et ainsi de suite...

Plus étrange encore : je suis connecté en SSH à la machine,  quand
j'ai ce "passage à vide", la connexion SSH coupe (connection reset by
peer), et impossible de me connecter avant que la machine assure son
forwarding à nouveau.
Une capture Ethereal m'avoue que la machine envoie [ACK, RST].

Le CPU n'est pas chargé (load average : 0.00, j'ai de la ram de dispo
continuellement (10 megs - pas d'usage du swap, le CPU est  à 99%
IDLE).
La passerelle continue à pinguer l'exterieur (internet et le réseau
local) sans aucun probleme, elle repond aux ICMP requests même pendant
ses passages à vide !


J'ai l'impression que la machine à besoin de se "proteger" pour
quelques instants.
J'ai monté le nombre de ports clients (1024 - 4999 par defaut) à 1024
- 65536, cela n'arrange rien.
J'ai verifié la variable /proc/sys/net/ipv4/tcp_abort_on_overflow,
elle est bien à 0.

L'ensemble de mes profs techniques, et mes amis ne comprennent pas le probleme.
Mon fichier de conf semble bon (ci joint).


S'il vous plaît, savez moi de l'Asile !
Auriez - vous une idée ?
Ce probleme me pourrit l'existance depuis quelques semaines déjà !

Merci d'avance.
Ben.


## Fichier de conf iptables :
#Script de configuration  pour Wifirst (IBM)
#

echo "Lancement du script de configuration IPTABLES..."

#Activation du routage
echo 1 > /proc/sys/net/ipv4/ip_forward

#Configuration IPTABLES
#          Vidange des IPTABLES :
iptables -F
iptables -t nat -F
#          Par d�faut :
#          Activation du NAT :
iptables -t nat -A POSTROUTING -j MASQUERADE

#          Activation de la protection anti P2P
###echo "Activation du filtrage P2P..."
###insmod /root/ipp2p-0.8.2/ipt_ipp2p.o
###iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc
--soul --winmx --ares -j DROP
###echo "Filtrage P2P [ SUCCES ]"

#Filtrage des ports
iptables -N CTRL_PORTS
iptables -A CTRL_PORTS -p tcp -m multiport --ports
21,20,80,53,8000,443 -j ACCEPT
iptables -A CTRL_PORTS -p udp -m multiport --ports 53 -j ACCEPT

#Patching des packets
#iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
#iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK
--save-mark

# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -A FORWARD -i eth1 -o eth0 -m state --state INVALID -j DROP

# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth0 -o eth1 -m state --state
ESTABLISHED,RELATED -j ACCEPT


#Autorisations de certaines adresses mac
#  ** SERVEUR WIFIRST
iptables -A FORWARD -m mac --mac-source 00:03:52:04:C7:33 -j ACCEPT

#  ** LES CHEFS
# BEN LAPTOP T22
iptables -A FORWARD -m mac --mac-source 00:0F:EA:1B:4E:73 -j ACCEPT

# ADRIEN LAPTOP TOSHIBA
iptables -A FORWARD -m mac --mac-source 00:A0:D1:45:A7:D4 -j ACCEPT

# ** CLIENTS
#
#simon 05/03
iptables -A FORWARD -m mac --mac-source 00:12:3F:10:0D:C3 -j CTRL_PORTS

#Antoine Forrest 05/03 -
iptables -A FORWARD -m mac --mac-source 00:13:46:2F:9A:C4 -j CTRL_PORTS

#Emmanuel GENDRON 05/03
#iptables -A FORWARD -m mac --mac-source 00:0D:61:52:9A:89 -j CTRL_PORTS

#Benjamin BRIENDO 05/03 -
iptables -A FORWARD -m mac --mac-source 00:16:36:6C:D8:27 -j CTRL_PORTS

#J�remy GACHET 05/03 -
iptables -A FORWARD -m mac --mac-source 00:16:D3:40:43:28 -j CTRL_PORTS

#Katoche 05/03
iptables -A FORWARD -m mac --mac-source 00:0A:E4:A0:1F:CF -j CTRL_PORTS

#Phillipine 05/03 -
iptables -A FORWARD -m mac --mac-source 00:C0:9F:70:11:7A  -j CTRL_PORTS

#Guillaume COUSIN 06/03 -
iptables -A FORWARD -m mac --mac-source 00:16:D4:5F:31:D4 -j CTRL_PORTS

#Pierre EMERIAUD (non resident à la cité)
iptables -A FORWARD -m mac --mac-source 00:0D:87:F6:55:98 -j ACCEPT

#Norma VASQUEZ
iptables -A FORWARD -m mac --mac-source 00:40:D0:69:75:67 -j CTRL_PORTS

#Stagiaire Traduction Cedric C315
#iptables -A FORWARD -m mac --mac-source 00:0f:b0:b8:df:da -j ACCEPT

#Jean Christophe MENARD 18/03 > 1/04
iptables -A FORWARD -m mac --mac-source 00:90:F5:44:AD:BF -j CTRL_PORTS
iptables -A FORWARD -j DROP


echo "[Configuration IPTABLES SUCCES]"