Fonctionnement discontinu du proxy

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Fonctionnement discontinu du proxy

Messagepar fenrir-maith » 06 Mars 2006 07:42

Bonjour,

Comme dit dans un ancien poste, j'expérimente IPCop 1.4.10 dans le réseau d'une école.

Configuration :

RED : sur une Freebox en mode routeur (192.168.200.1/24)
192.168.200.10/24
DNS : 212.27.32.176
Passerelle : 192.168.200.1

GREEN
192.168.0.10/24

BLUE
192.168.1.10/24

RPV Arrêté
Serveur CRON En fonction
Serveur DHCP En fonction (temporairement)
Serveur DNS mandataire (proxy DNS) En fonction
Serveur NTP En fonction
Serveur Web En fonction
Serveur d'accès à distance sécurisé (SSH) En fonction
Serveur d'enregistrement de journaux En fonction
Serveur d'enregistrement des journaux du noyau En fonction
Serveur mandataire (proxy) En fonction
Système de détection d'intrusions (BLUE) Arrêté
Système de détection d'intrusions (GREEN) Arrêté
Système de détection d'intrusions (RED) Arrêté

ADDONS : URLFILTER (mise à jour de l'UV Toulouse) et ADVPROXY

Pas de réglages particuliers mis à part pour URLFILTER où presque rien n'est autorisé.

La machine est surdimensionnée (Athlon 2500+, 512 DDR, 80Go, 2 cartes 100TX et une en gbits)


Le problème est le suivant :
de temps en temps (cette notion de "temps" reste à déterminer exactement), plus rien ne passe au travers d'IPCop

Un ping (ou n'importe quoi d'ailleur) depuis un Client GREEN ou BLUE vers l'exterieur ce retrouve bloqué, cela pendant quelques minutes, puis tout repart normalement, sans rien faire.
Par contre, dans ces périodes, un ping vers une des 3 interfaces (RED, GREEN et BLUE) passe sans problème

Depuis IPCOP, pas de pb pour pinguer au travers des 3 interfaces

En résumé, de temps en temps (trop souvent), IPCOP empêche GREEN et BLUE d'aller faire joujou de l'autre coté de RED.

Si quelques a une idée... :oops:

ps : le pb est le même quelque soit le client utilisé, il ne concerne pas les dns, la passerelle ou n'état de la connexion Internet, j'ai testé avec un poste situé de l'autre coté de red, aucun pb

pps : forcement quand j'essaye de le reproduire le temps de poster ce message, ça marche nickel :roll:
mais bon j'ai quand même eu 1 coupure le temps de ce message

edit : j'oubliai, dans ces moments là, je n'ai plus non plus accès à l'interface d'IPCOP
edit2 : ba voila, le temps de faire l'edit, j'ai eu une autre coupure (durée 1min environ)
edit3 : encore une déco, enfin partielle, la syncronisation nntp qui était en cours n'a pas été interrompue, par contre pas moyen d'établir une nouvelle connexion

on dirait que le firewall car les connexion établies mais n'en accepte plus aucune autre (cette fois la déco a durée plus de 5min)
il se comporte comme un ips :shock:
fenrir-maith
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 30 Jan 2006 20:24
Haut

Messagepar jdh » 06 Mars 2006 08:14

Cela ne semble pas dépendre d'IPCOP.

Pourquoi la Freebox est-elle en mode routeur ? Si il n'y a qu'une seule machine en face de la Freebox, il vaut mieux que la Freebox soit en mode "bridge".

Vraisemblablement cela vient de la Freebox et au delà. J'ai noté que dans certains lieux, Free qui fournit son adresse par DHCP, donne des baux de 60 secondes, ce qui est particulièrement mauvais !

Pour tester tu peux essayer (sur IPCOP) un "ping -c 3600 -i 0.25 x.x.x.x" (3600 pings séparés d'1/4 de secondes) avec une adresse ip Internet de ton choix et regarder le résultat notamment la régularité du temps.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar fenrir-maith » 06 Mars 2006 19:35

merci de ta réponse

le pb ne vient pas de la freebox, en fait je n'arrive pas à acceder à quoi que ce soit de l'autre coté de red (il y a d'autres machines) quand ça ce produit

si la freebox est en mode routeur, c'est simplement pour "protéger" un tant soit peu les postes de la dmz

le pb est le meme sans le net, il n'est pas hardware (j'ai fait tout ce qu'il faut comme test pour m'en assurer)

à force de tests j'en suis arrivé à 3 conclusions possibles :
1-un comportement "instable de squid"
2-un méli mélo dans les tables arp d'ipcop


quoiqu'il en soit, la situation à l'air de s'améliorer depuis que j'ai augmenté le nombre de process pour urlfilter

wait & see
fenrir-maith
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 30 Jan 2006 20:24
Haut

Messagepar jdh » 06 Mars 2006 19:50

Evidemment avec SQUID ...

SQUID (et tout ce qui tourne autour ...) exige de la mémoire. Le pb est que l'on juge toujours de la taille du cache sur disque ... sans penser un instant qu'il y a un rapport direct avec la mémoire utilisée.

A l'arrivée, on sature la mémoire centrale et on tape dans le swap (mémoire sur disque). Cette mémoire est à peu près 1000 fois plus lente que la mémoire vive.

D'où ....


Sinon, une Freebox en mode routeur n'est pas un firewall ! Non non ! Donc le réseau entre la Freebox et IPCOP n'est surement pas une DMZ ... La DMZ c'est une acrte de plus dans l'IPCOP : zone Orange.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar vindevogel » 07 Mars 2006 00:08

Je tablerais sur squid, vérifie si le service est actif quand tu as des problèmes.

J'avais un ipcop 1.4.10 avec advproxy, config piii 650mhz 512Mb ram, 40 gb de hdd avec royalement 4 pc derrière, autant dire pas grand chose, squid s'arrêtait sans arrêt.

Je suis revenu à ma première config , p2 233mhz, 192 mb Ram, 2gb de hdd, mêmes add-ons que le pIII, ça tourne nickel depuis. Et pourtant c'est une config de nain de jardin mais ça marche

Je n'y comprends rien, mais j'en avais marre d'être sans arrêt coupé d'internet et obligé de relancer squid.

J'ai posté plusieurs fois sur ce forum concernant squid, pas vraiment d'indice encore moins de solution en retour, j'ai même osé dire qu'il y avait pas mal de threads parlant de l'instabilité de squid, blasphème presque.
De Bruxelles , une fois !!!
( non peut-être ? )
Avatar de l’utilisateur
vindevogel
Aspirant
Aspirant
 
Messages: 104
Inscrit le: 28 Juil 2003 00:00
Localisation: Brussels
Haut

Messagepar dany83 » 06 Avr 2006 15:19

je croit que j'ai un pb similaire.
la mémoire semble ce saturé toute seul sans activité particuliere sur le lan...
il y a juste squid et squiguard qui tourne.

on peut le voir sur ce graphe :

Image

une instabilité vient si je ne reboot pas l'ipcop :?

une solution ?
dany83
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 03 Avr 2006 12:16
Haut

Même PB

Messagepar Jerome Baptiste » 25 Avr 2006 13:34

J'ai eu le même problème
Résultat suppression de ADVproxy et pour la petite histoire il semblerait qu'il y est un pb de cache !!!

Exemple concret.
Gt en vacances, coup de téléphone, tout le monde me cris dessus, on a plus internet etc ....
cela est arrivé précisément le mardi 4 avril

J'arrive de retour de vacances, je purge le cache tout refonctionne, mais malheureusement pas pour très longtemps, puisqu'une heure après c'est à nouveau de gros PB!

Je décide en gros bourrin de ré-installer un serveur sur une autre machine différente.
Re test - re problème identique, au bout de pas longtemps tout ce bloque, avec une différence de taille m^me lorsque je vide le cache cela ne repart pas

J'installe une 3 ieme machine et là je vire l'ADD on ADVProxy !! et là plus de problèmes.

Mon seul soucis c'est que tout le monde peut utiliser internet, puisque le seul objet de ADVproxy était la configuration d'utilisateur (vu que j'en ai que 12, j'allais pas le relier au domaine NT !!!

Cela dit, je n'ai toujours pas de solution et le boss commence à s'énerver un peu !!

Jérôme
Jerome Baptiste
Matelot
Matelot
 
Messages: 3
Inscrit le: 18 Avr 2006 11:02
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron