Connexion Lente

[zeroMax]

Bonjour je viens d'installer une debian en firewall (iptables), tout marche super bien sauf un truc et je ne vois pas du tout d'ou cela peut provenir: ma connexion sur le réseau local est lente (on dirait quelle ce fait à la même vitesse que l'adsl (128ko/s) pourtant c'est un une carte 10M,


Voici mon ifconfig :

Code: Tout sélectionner

eth0      Lien encap:Ethernet  HWaddr 00:00:94:A0:95:C9
          inet adr:192.168.1.1  Bcast:192.168.1.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:696372 errors:23 dropped:0 overruns:0 frame:0
          TX packets:1095777 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:90923238 (86.7 MiB)  TX bytes:1424122808 (1.3 GiB)
          Interruption:9 Adresse de base:0xdc00

eth1      Lien encap:Ethernet  HWaddr 00:40:05:67:4C:04
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9735501 errors:0 dropped:26 overruns:0 frame:12
          TX packets:15929706 errors:0 dropped:0 overruns:0 carrier:0
          collisions:5590 lg file transmission:1000
          RX bytes:3033347511 (2.8 GiB)  TX bytes:3086516393 (2.8 GiB)
          Interruption:10 Adresse de base:0xde00

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:28056 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28056 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:5355950 (5.1 MiB)  TX bytes:5355950 (5.1 MiB)

ppp0      Lien encap:Protocole Point-à-Point
          inet adr:81.48.112.46  P-t-P:193.253.160.3  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:31036 errors:0 dropped:0 overruns:0 frame:0
          TX packets:53060 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:3
          RX bytes:4514824 (4.3 MiB)  TX bytes:3918155 (3.7 MiB)


Voici mon fichier iptables

Code: Tout sélectionner

#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start.sh
# Script de démarrage des règles de filtrage "iptables"

# REMISE à ZERO des règles de filtrage
echo "RAZ"
iptables -F
iptables -t nat -F

echo "LOG"
#iptables -N LOG_DROP
#iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
#iptables -A LOG_DROP -j DROP
#iptables -N LOG_ACCEPT
#iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
#iptables -A LOG_ACCEPT -j ACCEPT

echo "politiques par défaut"

# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"

echo  "règles de filtrage"
# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur FTP éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur SSH éventuel
# soit joignable de l'extérieur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur de mail éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur Web éventuel
# soit joignable de l'extérieur
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

#Admin mldonkey
iptables -A INPUT -i eth0 -p tcp --dport 4080 -j ACCEPT


#bittorent
iptables -A INPUT -i ppp0 -p tcp --dport 6882 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 6881 -j ACCEPT

#direct connect
iptables -A INPUT -i ppp0 -p tcp --dport 4444 -j ACCEPT

#edonkey
iptables -A INPUT -i pppo -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i pppo -p tcp --dport 4666 -j ACCEPT
iptables -A INPUT -i pppo -p udp --dport 4670 -j ACCEPT
#iptables -A INPUT -i ppp0 -p tcp --dport 10001 -j ACCEPT

#overnet
iptables -A INPUT -i pppo -p tcp --dport 19181 -j ACCEPT

#gnutella
iptables -A INPUT -i pppo -p tcp --dport 6346 -j ACCEPT
#gnutella2
iptables -A INPUT -i pppo -p tcp --dport 6347 -j ACCEPT

#Soulseek
iptables -A INPUT -i pppo -p tcp --dport 2234 -j ACCEPT

#openmap
iptables -A INPUT -i pppo -p tcp --dport 6699 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CUPS éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 631 -j ACCEPT

# Décommentez les deux lignes suivantes pour que le serveur Samba éventuel
# soit joignable de l'extérieur
iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT

# Décommentez la ligne suivante pour que des clients puissent se connecter
# à l'ordinateur par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT

# Décommentez la ligne suivante pour que l'odinateur puisse se connecter
# par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

# Décommentez la ligne suivante pour que le serveur CVS éventuel
# soit joignable de l'extérieur via le mécanisme de "pserver"
# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
# seule la ligne concernant le serveur SSH doit être décommentée)
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP
# (ce sont des annonces de session multicast)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage

echo "règles pour le partage de connexion (NAT)"

# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
# à Internet
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o ppp0 --clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"

# Décommentez la ligne suivante pour que les requêtes TCP reçues sur
# le port 80 de l'interface eth0 soient forwardées à la machine dont
# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
# forwardée au client)
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80

# FIN des règles de "port forwarding"
#iptables -A INPUT -j LOG_DROP
#iptables -A FORWARD -j LOG_ACCEPT
#iptables -A OUTPUT -j LOG_ACCEPT


echo "[Terminé]"



et le fichier interface

Code: Tout sélectionner

# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)

# The loopback interface
auto lo
iface lo inet loopback

        # Démarrage et arrêt automatique des règles "iptables"
        pre-up /etc/network/if-pre-up.d/iptables-start.sh
        post-down /etc/network/if-post-down.d/iptables-stop.sh
        # Activation de la fonction de forwarding IP au niveau du noyau
        up echo "1" > /proc/sys/net/ipv4/ip_forward

# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0
iface eth0 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
#       gateway 192.168.1.1


[popov]

Essaye de mesurer tes connexions :
mesure sans tes scripts firewall puis avec et compare.

[zeroMax]

ça n'a pas l'air d'avoir d'incidance: je reste à

Code: Tout sélectionner

│                                                                              │
│                                                                              │
│ Total rates:       1369.8 kbits/sec        Broadcast packets:            1   │
│                     192.0 packets/sec      Broadcast bytes:            243   │
│                                                                              │
│ Incoming rates:      37.6 kbits/sec                                          │
│                      69.2 packets/sec                                        │
│                                            IP checksum errors:           0   │
│ Outgoing rates:    1332.2 kbits/sec                                          │
│                     122.8 packets/sec                                        │
│                                                                              │
│                                                                              │
│       

avec iptraf

[antolien]

Bonjour,
Je ne pense pas que ton script firewall soit en cause, car il n'est pas vraiment restrictif et il n'y a pas beaucoup de règles (pas de match sur l'etat des connexions ni de bloquage sur le forward).

Le problème peut venir de 2 chose à mon avis :

- Ton noyau n'est pas récent et la carte réseau est mal gérée (j'ai déjà eu le problème avec des realtek
-> réglé avec un des derniers noyaux 2.4 et 2.6)

- Tu effectue les transferts par ssh, si c'est une vieille machine, fait un top pour voir si c'est pas le processeur qui est à 100% à cause de sshd, dans ce cas, fais les transferts par ftp ou http, ça marchera beaucoup mieux.

[zeroMax]

c'est un noyau 2.6.5


sur un celeron 233 overclocker à 375

le top donne

Code: Tout sélectionner

top - 11:53:54 up 3 days,  1:32,  2 users,  load average: 0.09, 0.21, 0.18
Tasks:  50 total,   1 running,  49 sleeping,   0 stopped,   0 zombie
Cpu(s):  2.2% us,  3.3% sy,  0.0% ni, 91.9% id,  1.1% wa,  0.4% hi,  1.1% si
Mem:    159804k total,   157844k used,     1960k free,     2156k buffers
Swap:   192772k total,     3128k used,   189644k free,    82256k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
8300 mldonkey  15   0 58648  53m 6492 S  4.0 34.2  73:33.92 mlnet
9442 root      15   0  1536  496 1376 S  1.5  0.3   0:35.69 pppoe
    2 root      34  19     0    0    0 S  1.1  0.0  19:57.99 ksoftirqd/0
9582 root      16   0  2096 1052 1884 R  0.7  0.7   0:00.09 top
    1 root      16   0  1528  480 1376 S  0.0  0.3   0:04.25 init
    3 root       5 -10     0    0    0 S  0.0  0.0   0:00.66 events/0
    4 root       5 -10     0    0    0 S  0.0  0.0   0:08.37 kblockd/0
    5 root      15   0     0    0    0 S  0.0  0.0   0:19.28 pdflush
    6 root      15   0     0    0    0 S  0.0  0.0   0:00.62 pdflush
    8 root       5 -10     0    0    0 S  0.0  0.0   0:00.00 aio/0
    7 root      15   0     0    0    0 S  0.0  0.0   0:18.24 kswapd0
    9 root      22   0     0    0    0 S  0.0  0.0   0:00.00 kseriod
   10 root      16   0     0    0    0 S  0.0  0.0   0:13.55 kjournald
  123 root      16   0     0    0    0 S  0.0  0.0   0:43.45 kjournald
  124 root      16   0     0    0    0 S  0.0  0.0   3:55.60 kjournald
  344 root      15   0     0    0    0 S  0.0  0.0   0:00.00 khubd
  703 root      16   0  1584  608 1416 S  0.0  0.4   0:24.57 syslogd
  706 root      16   0  2344  472 1368 S  0.0  0.3   0:12.67 klogd
  718 root      15   0  2340  912 1964 S  0.0  0.6   0:00.64 pppd
  734 root      15   0     0    0    0 S  0.0  0.0   0:00.66 kapmd
  741 root      16   0  1528  452 1376 S  0.0  0.3   0:00.00 apmd
  751 root      17   0  1564  428 1408 S  0.0  0.3   0:00.01 inetd
  883 root      16   0  2868  916 2680 S  0.0  0.6   0:00.84 master
  898 daemon    16   0  1716  548 1552 S  0.0  0.3   0:00.00 atd
  901 root      16   0  1796  688 1608 S  0.0  0.4   0:00.12 cron
  912 root      16   0  1528  404 1364 S  0.0  0.3   0:00.00 getty
2095 root      16   0  3428  768 3056 S  0.0  0.5   0:00.04 sshd
3820 root      16   0  4544 1432 4032 S  0.0  0.9   0:01.40 apache
4382 mldonkey  20   0  2460  684 1892 S  0.0  0.4   0:00.02 mldonkey_server
6736 root      16   0  1528  404 1364 S  0.0  0.3   0:00.00 getty


le module pour la carte reseau est tulip


Comment çà mes regle ne sont pas assez restrictive? je debute alors ...

[antolien]

Par quel protocole tu effectue les transferts ?

Le résultat du top que tu donnes ici est effectué pendant un transfert ?

[zeroMax]

les transfert ce font par samba , j'ai aussi essayez en passant par apache et lorsque je dl avec mozilla il m'indique bien un transfert en 128ko/s

le top à été fait vers la fin du transfert et je n'ai pas fait attention s'il été fini mais il n'est pas trop occuper en général .