Bonjour à tous, Je suis nouveau sur cette mailling list, donc je me présente : Benjamin Riou - Etudiant en Réseaux & Telecoms 1 à l'IUT de Lannion
... et je viens vous exposer un problème auquel je suis confronté depuis quelques temps. Voila. Je partage un accès à internet avec mes amis à la cité universitaire. Pour se faire, j'ai un PII 350mhz w/ 128 de ram et 2 cartes réseau 10/100 en PCI (Une Netgear et une Realtek). J'utilise IPTABLES pour le partage de la connexion avec un controle par adresse mac, puis un filtrage de ports (sont dispo le 80, 443, 53, 20, 21). Il se trouve, que, la machine ne tient pas la charge passé 3 utilisateurs qui surfent (et ne font pas de P2P). J'ai testé 6 cartes réseaux différentes (en passant de la ConnectLand à la 3Com), et j'ai testé Debian Stable (noyau 2.4) et Ubuntu server (noyau 2.6). Toujours le même probleme : la machine admet une montée en charge des clients, puis arrête tout forwarding durant environ une minute puis repart en charge. Et ainsi de suite... Plus étrange encore : je suis connecté en SSH à la machine, quand j'ai ce "passage à vide", la connexion SSH coupe (connection reset by peer), et impossible de me connecter avant que la machine assure son forwarding à nouveau. Une capture Ethereal m'avoue que la machine envoie [ACK, RST]. Le CPU n'est pas chargé (load average : 0.00, j'ai de la ram de dispo continuellement (10 megs - pas d'usage du swap, le CPU est à 99% IDLE). La passerelle continue à pinguer l'exterieur (internet et le réseau local) sans aucun probleme, elle repond aux ICMP requests même pendant ses passages à vide ! J'ai l'impression que la machine à besoin de se "proteger" pour quelques instants. J'ai monté le nombre de ports clients (1024 - 4999 par defaut) à 1024 - 65536, cela n'arrange rien. J'ai verifié la variable /proc/sys/net/ipv4/tcp_abort_on_overflow, elle est bien à 0. L'ensemble de mes profs techniques, et mes amis ne comprennent pas le probleme. Mon fichier de conf semble bon (ci joint). S'il vous plaît, savez moi de l'Asile ! Auriez - vous une idée ? Ce probleme me pourrit l'existance depuis quelques semaines déjà ! Merci d'avance. Ben. ## Fichier de conf iptables : #Script de configuration pour Wifirst (IBM) # echo "Lancement du script de configuration IPTABLES..." #Activation du routage echo 1 > /proc/sys/net/ipv4/ip_forward #Configuration IPTABLES # Vidange des IPTABLES : iptables -F iptables -t nat -F # Par d�faut : # Activation du NAT : iptables -t nat -A POSTROUTING -j MASQUERADE # Activation de la protection anti P2P ###echo "Activation du filtrage P2P..." ###insmod /root/ipp2p-0.8.2/ipt_ipp2p.o ###iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP ###echo "Filtrage P2P [ SUCCES ]" #Filtrage des ports iptables -N CTRL_PORTS iptables -A CTRL_PORTS -p tcp -m multiport --ports 21,20,80,53,8000,443 -j ACCEPT iptables -A CTRL_PORTS -p udp -m multiport --ports 53 -j ACCEPT #Patching des packets #iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark #iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark # Toutes les connexions qui sortent du LAN vers le Net # sont acceptées iptables -A FORWARD -i eth1 -o eth0 -m state --state INVALID -j DROP # Seules les connexions déjà établies ou en relation avec # des connexions établies sont acceptées venant du Net vers le LAN iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT #Autorisations de certaines adresses mac # ** SERVEUR WIFIRST iptables -A FORWARD -m mac --mac-source 00:03:52:04:C7:33 -j ACCEPT # ** LES CHEFS # BEN LAPTOP T22 iptables -A FORWARD -m mac --mac-source 00:0F:EA:1B:4E:73 -j ACCEPT # ADRIEN LAPTOP TOSHIBA iptables -A FORWARD -m mac --mac-source 00:A0:D1:45:A7:D4 -j ACCEPT # ** CLIENTS # #simon 05/03 iptables -A FORWARD -m mac --mac-source 00:12:3F:10:0D:C3 -j CTRL_PORTS #Antoine Forrest 05/03 - iptables -A FORWARD -m mac --mac-source 00:13:46:2F:9A:C4 -j CTRL_PORTS #Emmanuel GENDRON 05/03 #iptables -A FORWARD -m mac --mac-source 00:0D:61:52:9A:89 -j CTRL_PORTS #Benjamin BRIENDO 05/03 - iptables -A FORWARD -m mac --mac-source 00:16:36:6C:D8:27 -j CTRL_PORTS #J�remy GACHET 05/03 - iptables -A FORWARD -m mac --mac-source 00:16:D3:40:43:28 -j CTRL_PORTS #Katoche 05/03 iptables -A FORWARD -m mac --mac-source 00:0A:E4:A0:1F:CF -j CTRL_PORTS #Phillipine 05/03 - iptables -A FORWARD -m mac --mac-source 00:C0:9F:70:11:7A -j CTRL_PORTS #Guillaume COUSIN 06/03 - iptables -A FORWARD -m mac --mac-source 00:16:D4:5F:31:D4 -j CTRL_PORTS #Pierre EMERIAUD (non resident à la cité) iptables -A FORWARD -m mac --mac-source 00:0D:87:F6:55:98 -j ACCEPT #Norma VASQUEZ iptables -A FORWARD -m mac --mac-source 00:40:D0:69:75:67 -j CTRL_PORTS #Stagiaire Traduction Cedric C315 #iptables -A FORWARD -m mac --mac-source 00:0f:b0:b8:df:da -j ACCEPT #Jean Christophe MENARD 18/03 > 1/04 iptables -A FORWARD -m mac --mac-source 00:90:F5:44:AD:BF -j CTRL_PORTS iptables -A FORWARD -j DROP echo "[Configuration IPTABLES SUCCES]"