Tu as vu juste du premier coup Marc, avec iptables. Mille mercis.
> # iptables -n --list --line-numbers | sed '/^num\|^$\|^Chain/d' | wc -l > 71045 Avec un bantime à -1 sur fail2ban, le magasin se rempli vite. > # fail2ban-client status apache-auth | head -n8 > Status for the jail: apache-auth > |- Filter > | |- Currently failed: 4 > | |- Total failed: 436 > | `- File list: /var/log/apache2/transmission_error.log > /var/log/apache2/error.log > `- Actions > |- Currently banned: 576 > |- Total banned: 576 > # fail2ban-client status sshd | head -n8 > Status for the jail: sshd > |- Filter > | |- Currently failed: 5 > | |- Total failed: 37918 > | `- File list: /var/log/auth.log > `- Actions > |- Currently banned: 70468 > |- Total banned: 70468 576 + 70468 = 71044 CQFD. Il faut maintenant purger les 70K+ drops d'iptable, peut-être exporter les IP de fail2ban. Une fois le package ipset ajouté au système, où se fait la configuration manuelle pour dire à fail2ban de l'utiliser, plutôt que de continuer à écrire des règles iptable ? -- Frédéric Dumas f.du...@ellis.siteparc.fr > Le 28 sept. 2024 à 14:18, Marc SCHAEFER via gull <gull@forum.linux-gull.ch> a > écrit : > > Hello, > > On Sat, Sep 28, 2024 at 01:06:43PM +0200, Frederic Dumas via gull wrote: >> un petit casse tête sur Ubuntu, puisque c'est le week-end. Ce tout petit >> serveur s'étrangle dès qu'on tire dessus en sftp à peine quelques Mb/s. >> ksoftirqd vient faire la police, et le débit moyen plafonne à ~500Ko/s >> (~5Mb/s), alors que de l'autre coté, le client sftp est sur un accès GPON. > > J'ai plusieurs idées (*), mais que dit nestat -i ? > >> Ça parait personnalisé par l'hébergeur dans l'image Ubuntu installée >> sur ses serveurs. > > Peut-être lui demander pourquoi? > > > (*) - trop de règles iptables: en remplaçant par ipset j'ai > obtenu de sacré gains de performance sur des systèmes > peu performants (ok, ça commence à se voir dès 20'000 > entrées, j'en ai > 200'000) -- c'était exactement > ksoftirqd qui saturait (très visible avec top, peu > avec htop sans config) > - TCP/TSO non activé: une interruption par paquet y.c > confirmations > - sshd monothread > - pertes de paquets _______________________________________________ gull mailing list gull@forum.linux-gull.ch https://forum.linux-gull.ch/mailman/listinfo/gull
