Re: Problèmes Tenue Charge Iptables
Bonjour,
Peut-être une piste:
Quelle valeur obtenez-vous dans
/proc/sys/net/ipv4/netfilter/ip_conntrack_max ?
Pour ma part, sous Ubuntu Edgy et par défaut, j'ai 32760.
Plus généralement, avez-vous adapté certains paramètres avec sysctl ? Si
oui, peut-être quelque chose à voir là aussi.
Cordialement
Jean Baptiste Favre
Benjamin RIOU a écrit :
> Bonjour à tous,
>
> Je suis nouveau sur cette mailling list, donc je me présente :
> Benjamin Riou - Etudiant en Réseaux & Telecoms 1 à l'IUT de Lannion
>
> ... et je viens vous exposer un problème auquel je suis confronté
> depuis quelques temps.
>
> Voila. Je partage un accès à internet avec mes amis à la cité
> universitaire.
> Pour se faire, j'ai un PII 350mhz w/ 128 de ram et 2 cartes réseau
> 10/100 en PCI (Une Netgear et une Realtek).
>
> J'utilise IPTABLES pour le partage de la connexion avec un controle
> par adresse mac, puis un filtrage de ports (sont dispo le 80, 443,
> 53, 20, 21).
>
> Il se trouve, que, la machine ne tient pas la charge passé 3
> utilisateurs qui surfent (et ne font pas de P2P).
>
> J'ai testé 6 cartes réseaux différentes (en passant de la ConnectLand
> à la 3Com), et j'ai testé Debian Stable (noyau 2.4) et Ubuntu server
> (noyau 2.6).
>
> Toujours le même probleme : la machine admet une montée en charge des
> clients, puis arrête tout forwarding durant environ une minute puis
> repart en charge.
> Et ainsi de suite...
> 32760
> Plus étrange encore : je suis connecté en SSH à la machine, quand
> j'ai ce "passage à vide", la connexion SSH coupe (connection reset by
> peer), et impossible de me connecter avant que la machine assure son
> forwarding à nouveau.
> Une capture Ethereal m'avoue que la machine envoie [ACK, RST].
>
> Le CPU n'est pas chargé (load average : 0.00, j'ai de la ram de dispo
> continuellement (10 megs - pas d'usage du swap, le CPU est à 99%
> IDLE).
> La passerelle continue à pinguer l'exterieur (internet et le réseau
> local) sans aucun probleme, elle repond aux ICMP requests même pendant
> ses passages à vide !
>
>
> J'ai l'impression que la machine à besoin de se "proteger" pour
> quelques instants.
> J'ai monté le nombre de ports clients (1024 - 4999 par defaut) à 1024
> - 65536, cela n'arrange rien.
> J'ai verifié la variable /proc/sys/net/ipv4/tcp_abort_on_overflow,
> elle est bien à 0.
>
> L'ensemble de mes profs techniques, et mes amis ne comprennent pas le
> probleme.
> Mon fichier de conf semble bon (ci joint).
>
>
> S'il vous plaît, savez moi de l'Asile !
> Auriez - vous une idée ?
> Ce probleme me pourrit l'existance depuis quelques semaines déjà !
>
> Merci d'avance.
> Ben.
>
>
> ## Fichier de conf iptables :
> #Script de configuration pour Wifirst (IBM)
> #
>
> echo "Lancement du script de configuration IPTABLES..."
>
> #Activation du routage
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> #Configuration IPTABLES
> # Vidange des IPTABLES :
> iptables -F
> iptables -t nat -F
> # Par d�faut :
> # Activation du NAT :
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
> # Activation de la protection anti P2P
> ###echo "Activation du filtrage P2P..."
> ###insmod /root/ipp2p-0.8.2/ipt_ipp2p.o
> ###iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc
> --soul --winmx --ares -j DROP
> ###echo "Filtrage P2P [ SUCCES ]"
>
> #Filtrage des ports
> iptables -N CTRL_PORTS
> iptables -A CTRL_PORTS -p tcp -m multiport --ports
> 21,20,80,53,8000,443 -j ACCEPT
> iptables -A CTRL_PORTS -p udp -m multiport --ports 53 -j ACCEPT
>
> #Patching des packets
> #iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
> #iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK
> --save-mark
>
> # Toutes les connexions qui sortent du LAN vers le Net
> # sont acceptées
> iptables -A FORWARD -i eth1 -o eth0 -m state --state INVALID -j DROP
>
> # Seules les connexions déjà établies ou en relation avec
> # des connexions établies sont acceptées venant du Net vers le LAN
> iptables -A FORWARD -i eth0 -o eth1 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>
>
> #Autorisations de certaines adresses mac
> # ** SERVEUR WIFIRST
> iptables -A FORWARD -m mac --mac-source 00:03:52:04:C7:33 -j ACCEPT
>
> # ** LES CHEFS
> # BEN LAPTOP T22
> iptables -A FORWARD -m mac --mac-source 00:0F:EA:1B:4E:73 -j ACCEPT
>
> # ADRIEN LAPTOP TOSHIBA
> iptables -A FORWARD -m mac --mac-source 00:A0:D1:45:A7:D4 -j ACCEPT
>
> # ** CLIENTS
> #
> #simon 05/03
> iptables -A FORWARD -m mac --mac-source 00:12:3F:10:0D:C3 -j CTRL_PORTS
>
> #Antoine Forrest 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:13:46:2F:9A:C4 -j CTRL_PORTS
>
> #Emmanuel GENDRON 05/03
> #iptables -A FORWARD -m mac --mac-source 00:0D:61:52:9A:89 -j CTRL_PORTS
>
> #Benjamin BRIENDO 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:16:36:6C:D8:27 -j CTRL_PORTS
>
> #J�remy GACHET 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:16:D3:40:43:28 -j CTRL_PORTS
>
> #Katoche 05/03
> iptables -A FORWARD -m mac --mac-source 00:0A:E4:A0:1F:CF -j CTRL_PORTS
>
> #Phillipine 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:C0:9F:70:11:7A -j CTRL_PORTS
>
> #Guillaume COUSIN 06/03 -
> iptables -A FORWARD -m mac --mac-source 00:16:D4:5F:31:D4 -j CTRL_PORTS
>
> #Pierre EMERIAUD (non resident à la cité)
> iptables -A FORWARD -m mac --mac-source 00:0D:87:F6:55:98 -j ACCEPT
>
> #Norma VASQUEZ
> iptables -A FORWARD -m mac --mac-source 00:40:D0:69:75:67 -j CTRL_PORTS
>
> #Stagiaire Traduction Cedric C315
> #iptables -A FORWARD -m mac --mac-source 00:0f:b0:b8:df:da -j ACCEPT
>
> #Jean Christophe MENARD 18/03 > 1/04
> iptables -A FORWARD -m mac --mac-source 00:90:F5:44:AD:BF -j CTRL_PORTS
> iptables -A FORWARD -j DROP
>
>
> echo "[Configuration IPTABLES SUCCES]"
Reply to: