Salut journal,
J'ai monte une nouvelle passerelle sous debian (noyau 2.4.18) en utilisant iptables pour definir mes regles de securite.
Une carte pointe vers mon routeur, une carte pointe vers mon reseau local.
Mes regles fonctionnent bien, seuls le http, le dns et le ftp peuvent passer.
Mon probleme est que de temps en temps (completement aleatoire) j'ai un temps de latence ou le traffic reseau se bloque (visualisation avec IPTraf du traffic nul) et ne permet donc plus a cette chere passerelle de fournir ses precieuses données....
Pour info il n'y a que deux PC derriere la passerelle (qui est un PIII 600, 128mo, carte 3C905C)...
Des idees mon journal?
# Re: Temps de latence sur passerelle
Posté par cumulus . Évalué à 5.
Pour connaître la taille max de la table :
cat /proc/sys/net/ipv4/ip_conntrack_max
Pour connaître la taille actuelle de la table :
cat /proc/net/ip_conntrack | wc -l
Pour changer la valeur de la taille max :
echo 16304 > /proc/sys/net/ipv4/ip_conntrack_max
Voilà, si ça peut t'aider.
# Re: Temps de latence sur passerelle
Posté par SubBass . Évalué à 1.
# Re: Temps de latence sur passerelle
Posté par tuan kuranes (site web personnel) . Évalué à 1.
Avec par exemple ce script : http://lartc.org/wondershaper/(...)
Sinon, pour des raisons de securite, Change de noyau :
cf http://www.securityfocus.com/bid/5539/info/(...)
Un truc pratique pour monitorer ta passerelle avec des graphiques (memoire, swap, cpu, disk, bande passante), qui permet de reperer vite fait les congestions :
http://www.linux-sottises.net/software.php(...)
Sinon upnp et msn messenger, ca marche ?
[^] # Re: Temps de latence sur passerelle
Posté par tuan kuranes (site web personnel) . Évalué à 1.
Et si tu passe a un noyau plus recent, tu pourras en profiter pour utiliser wondershaper avec HTB... ca marche mieux.
[^] # Re: Temps de latence sur passerelle
Posté par drac . Évalué à 2.
http://lea-linux.org/leapro/qos.php3(...)
En ce qui concerne le noyau je rappellerais que sur la Debian Woody le noyau 2.4.18 est patché régulièrement pour contrer les failles de sécurités, ... il n'est donc pas obligatoire de changer de version de noyau. Un apt-get update && apt-get upgrade te mets le dernier kernel-source dans ton /usr/src
[^] # Re: Temps de latence sur passerelle
Posté par Fabien . Évalué à 1.
Il faut patcher le noyau pour avoir le support IMQ
Il faut avoir une bonne version d'iproute ( pour debian ) ou iproute2
Il faut avoir la bonne version d'iptables
Tout est ici : http://trash.net/~kaber/imq/(...)
- le patch pour 2.4.21 passe avec une erreur sur un 2.4.24, il faut modifier /usr/src/linux/drivers/net/Makefile et rajouter la ligne "obj-$(CONFIG_IMQ) += imq.o" entre " obj-$(CONFIG_DUMMY) += dummy.o" et "obj-$(CONFIG_DE600) += de600.o"
je viens de proposer le patch pour ce noyau au maintener imq, ou plutot à l'ex car apparemment il a envie de passer le relai ...
- pour iproute sur une debian woody c'est ici http://ftp.debian.org/debian/pool/main/i/iproute/(...)
- il faut recompiler iptables avec le patch qui va bien ( celui-ci ajoute la cible IMQ à iptables)
C'est à partir d'ici que j'ai un problème: je ne peux pas recompiler iptables, mais il existe une solution, il faut ajouter des libs dans /lib/iptables/ ( http://trash.net/~kaber/imq/libipt_IMQ-1.2.6a.tar.gz(...)) et patcher le noyau avec un combo patch ( mais pour noyau 2.4.18 ) , et là ça se gate, le patch ne passe pas sur un 2.4.24 à mon grand désespoir. Je suis en train de merger le combo patch et le patch-2.4.24 pour noyau 2.4.24
Voilà, c'est juste quelques précisions à la doc que je mettrais à jour sur mon site -> http://galactus.tigrou3tac.org/?current=3(...)
PS: Je te réponds mais ça aurait pu être aux personnes du dessus, le principal est que l'information circule.
# Re: Temps de latence sur passerelle
Posté par Jeremy SALMON (site web personnel) . Évalué à 2.
Desole du derangement...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.