Bonjour, Peut-être une piste: Quelle valeur obtenez-vous dans /proc/sys/net/ipv4/netfilter/ip_conntrack_max ? Pour ma part, sous Ubuntu Edgy et par défaut, j'ai 32760.
Plus généralement, avez-vous adapté certains paramètres avec sysctl ? Si oui, peut-être quelque chose à voir là aussi. Cordialement Jean Baptiste Favre Benjamin RIOU a écrit : > Bonjour à tous, > > Je suis nouveau sur cette mailling list, donc je me présente : > Benjamin Riou - Etudiant en Réseaux & Telecoms 1 à l'IUT de Lannion > > ... et je viens vous exposer un problème auquel je suis confronté > depuis quelques temps. > > Voila. Je partage un accès à internet avec mes amis à la cité > universitaire. > Pour se faire, j'ai un PII 350mhz w/ 128 de ram et 2 cartes réseau > 10/100 en PCI (Une Netgear et une Realtek). > > J'utilise IPTABLES pour le partage de la connexion avec un controle > par adresse mac, puis un filtrage de ports (sont dispo le 80, 443, > 53, 20, 21). > > Il se trouve, que, la machine ne tient pas la charge passé 3 > utilisateurs qui surfent (et ne font pas de P2P). > > J'ai testé 6 cartes réseaux différentes (en passant de la ConnectLand > à la 3Com), et j'ai testé Debian Stable (noyau 2.4) et Ubuntu server > (noyau 2.6). > > Toujours le même probleme : la machine admet une montée en charge des > clients, puis arrête tout forwarding durant environ une minute puis > repart en charge. > Et ainsi de suite... > 32760 > Plus étrange encore : je suis connecté en SSH à la machine, quand > j'ai ce "passage à vide", la connexion SSH coupe (connection reset by > peer), et impossible de me connecter avant que la machine assure son > forwarding à nouveau. > Une capture Ethereal m'avoue que la machine envoie [ACK, RST]. > > Le CPU n'est pas chargé (load average : 0.00, j'ai de la ram de dispo > continuellement (10 megs - pas d'usage du swap, le CPU est à 99% > IDLE). > La passerelle continue à pinguer l'exterieur (internet et le réseau > local) sans aucun probleme, elle repond aux ICMP requests même pendant > ses passages à vide ! > > > J'ai l'impression que la machine à besoin de se "proteger" pour > quelques instants. > J'ai monté le nombre de ports clients (1024 - 4999 par defaut) à 1024 > - 65536, cela n'arrange rien. > J'ai verifié la variable /proc/sys/net/ipv4/tcp_abort_on_overflow, > elle est bien à 0. > > L'ensemble de mes profs techniques, et mes amis ne comprennent pas le > probleme. > Mon fichier de conf semble bon (ci joint). > > > S'il vous plaît, savez moi de l'Asile ! > Auriez - vous une idée ? > Ce probleme me pourrit l'existance depuis quelques semaines déjà ! > > Merci d'avance. > Ben. > > > ## Fichier de conf iptables : > #Script de configuration pour Wifirst (IBM) > # > > echo "Lancement du script de configuration IPTABLES..." > > #Activation du routage > echo 1 > /proc/sys/net/ipv4/ip_forward > > #Configuration IPTABLES > # Vidange des IPTABLES : > iptables -F > iptables -t nat -F > # Par d�faut : > # Activation du NAT : > iptables -t nat -A POSTROUTING -j MASQUERADE > > # Activation de la protection anti P2P > ###echo "Activation du filtrage P2P..." > ###insmod /root/ipp2p-0.8.2/ipt_ipp2p.o > ###iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc > --soul --winmx --ares -j DROP > ###echo "Filtrage P2P [ SUCCES ]" > > #Filtrage des ports > iptables -N CTRL_PORTS > iptables -A CTRL_PORTS -p tcp -m multiport --ports > 21,20,80,53,8000,443 -j ACCEPT > iptables -A CTRL_PORTS -p udp -m multiport --ports 53 -j ACCEPT > > #Patching des packets > #iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark > #iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK > --save-mark > > # Toutes les connexions qui sortent du LAN vers le Net > # sont acceptées > iptables -A FORWARD -i eth1 -o eth0 -m state --state INVALID -j DROP > > # Seules les connexions déjà établies ou en relation avec > # des connexions établies sont acceptées venant du Net vers le LAN > iptables -A FORWARD -i eth0 -o eth1 -m state --state > ESTABLISHED,RELATED -j ACCEPT > > > #Autorisations de certaines adresses mac > # ** SERVEUR WIFIRST > iptables -A FORWARD -m mac --mac-source 00:03:52:04:C7:33 -j ACCEPT > > # ** LES CHEFS > # BEN LAPTOP T22 > iptables -A FORWARD -m mac --mac-source 00:0F:EA:1B:4E:73 -j ACCEPT > > # ADRIEN LAPTOP TOSHIBA > iptables -A FORWARD -m mac --mac-source 00:A0:D1:45:A7:D4 -j ACCEPT > > # ** CLIENTS > # > #simon 05/03 > iptables -A FORWARD -m mac --mac-source 00:12:3F:10:0D:C3 -j CTRL_PORTS > > #Antoine Forrest 05/03 - > iptables -A FORWARD -m mac --mac-source 00:13:46:2F:9A:C4 -j CTRL_PORTS > > #Emmanuel GENDRON 05/03 > #iptables -A FORWARD -m mac --mac-source 00:0D:61:52:9A:89 -j CTRL_PORTS > > #Benjamin BRIENDO 05/03 - > iptables -A FORWARD -m mac --mac-source 00:16:36:6C:D8:27 -j CTRL_PORTS > > #J�remy GACHET 05/03 - > iptables -A FORWARD -m mac --mac-source 00:16:D3:40:43:28 -j CTRL_PORTS > > #Katoche 05/03 > iptables -A FORWARD -m mac --mac-source 00:0A:E4:A0:1F:CF -j CTRL_PORTS > > #Phillipine 05/03 - > iptables -A FORWARD -m mac --mac-source 00:C0:9F:70:11:7A -j CTRL_PORTS > > #Guillaume COUSIN 06/03 - > iptables -A FORWARD -m mac --mac-source 00:16:D4:5F:31:D4 -j CTRL_PORTS > > #Pierre EMERIAUD (non resident à la cité) > iptables -A FORWARD -m mac --mac-source 00:0D:87:F6:55:98 -j ACCEPT > > #Norma VASQUEZ > iptables -A FORWARD -m mac --mac-source 00:40:D0:69:75:67 -j CTRL_PORTS > > #Stagiaire Traduction Cedric C315 > #iptables -A FORWARD -m mac --mac-source 00:0f:b0:b8:df:da -j ACCEPT > > #Jean Christophe MENARD 18/03 > 1/04 > iptables -A FORWARD -m mac --mac-source 00:90:F5:44:AD:BF -j CTRL_PORTS > iptables -A FORWARD -j DROP > > > echo "[Configuration IPTABLES SUCCES]"
