Bonjour à toutes et à tous,
Je suis nouveau sur ce forum, je vous remercie de votre compréhension si
je ne suis pas trop clair dans mes explications !
J'ai installé un IPCOP 1.4.15 avec 2 interfaces : GREEN et RED.
GREEN : 192.168.128.2
RED : 192.168.127.1
Il y a environ 45 machines dans le réseau.
Il y a aussi des sous-réseau qui arrive par un autre routeur qui sont en VPN.
Machine FIREWALL IPCOP :
Pentium Dual Core
512 Mo de RAM
disque de 160 Go
cartes 3com
(le processeur fait rien de sa journée presque..)
La patte RED est directement branchée sur un routeur CISCO avec une adresse IP privé...et une publique....
Il y a aussi des sous-réseau du coté GREEN qui arrive par un autre routeur et qui sont en VPN.
Depuis un mois environ, ma connexion Internet s'est ralenti et j'ai souvent des pertes de connexions du type "Erreur affichage - connexion reset by peer" renvoyé par IPCOP.
J'ai regardé dans mon menu "Etat", puis "Connexions".
Lorsque je lance un Internet explorer depuis n'importe quel poste, le mien par exemple pour visualiser la console d'administration d'IPCOP, il me crée [color=red]environ 12 connexions et une seule avec le status ESTABLISHED et les autres en TIME_WAIT et avec un délai d'expiration de 100 sec....[/color]
Je pense qu'il sature la table NAT de mon routeur (pas celle du firewall car il est assez puissant pour supporter la charge) qui se trouve derrière mon interface RED (le routeur fait aussi du NAT car IP privé en 192.168.127.1) et de l'autre coté l'adresse IP Publique.
J'ai désactivé tous les modules sauf BOT.
J'ai passé un antispyware sur les postes et rien trouvé !!
Donc de quoi peut venir mon problème de ralentissement et si c vraiement ma table NAT qui va saturer aussi celle du routeur ?
Et d'ou peut venir ces mutliples connexions ??
Je vous remrecie par avance de votre aide car je sais plus comment faire !!
Multiples Entrées tables NAT inhabituelles
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
Multiples Entrées tables NAT inhabituelles
par JN-M » 17 Oct 2007 17:50
- JN-M
- Matelot
- Messages: 10
- Inscrit le: 17 Oct 2007 17:30
- Localisation: LYON
par ccnet » 17 Oct 2007 22:14
Je ne pense pas résoudre votre problème de performance mais je peux vous donner quelques informations.
Sur un site que je connais bien nous avons aussi un Cisco mais pas de nat sur le routeur. les ip publiques sont directement sur l'interface RED de l'ipcop. Chaque fois que c'est possible je préfère cette configuration. Deux translations sucessives ne simplifie pas toujours les choses.
Menu "Etat", puis "Connexions":
Une connexion, au sens de TCP, c'est IP source + port source + port destinataire + ip destinataire.
Avec http, chaque fois qu'il y a un élément à transférer, par exemple une image dans la page, une connexion TCP est créée en incrémentant successivement les numéros de port source (au delà de 1024).
Pour bien en visualiser les conséquences sur le nombre de connexions ouvertes je vous suggère ce test.
Trouvez un moment où un seul poste est actif. Fermez le navigateur, actualiser l'affichage des connexions dans ipcop (point d'exclamation au dessus de la dernière colonne). Lancer un navigateur (ou une autre fenêtre) sur google.fr. Actualiser à nouveau dans ipcop. Maintenant lancer www.voila.fr, actualiser encore. Compris ? Le nombre de connexions ouvertes est significativement plus grand avec la page de voila.fr et l'on comprend pourquoi en regardant son contenu.
Donc a priori rien d'anormal sur le grand nombre de connexions ouvertes, surtout si la destination est une ip publique : port 80. Je vous confirme que votre firewall est amplement dimensionné et qu'il ne perturbe pas votre accès à internet. Sur le Cisco j'en doute aussi.
Votre problème de débit peut avoir de multiples origines, y compris la présence d'un fort rayonnement électromagnétique à proxilité d'un cable réseau. Avez vous consulté votre fournisseur d'accès ?
Des changements récents y compris ceux qui semblent anodins ?
Sur un site que je connais bien nous avons aussi un Cisco mais pas de nat sur le routeur. les ip publiques sont directement sur l'interface RED de l'ipcop. Chaque fois que c'est possible je préfère cette configuration. Deux translations sucessives ne simplifie pas toujours les choses.
Menu "Etat", puis "Connexions":
Une connexion, au sens de TCP, c'est IP source + port source + port destinataire + ip destinataire.
Avec http, chaque fois qu'il y a un élément à transférer, par exemple une image dans la page, une connexion TCP est créée en incrémentant successivement les numéros de port source (au delà de 1024).
Pour bien en visualiser les conséquences sur le nombre de connexions ouvertes je vous suggère ce test.
Trouvez un moment où un seul poste est actif. Fermez le navigateur, actualiser l'affichage des connexions dans ipcop (point d'exclamation au dessus de la dernière colonne). Lancer un navigateur (ou une autre fenêtre) sur google.fr. Actualiser à nouveau dans ipcop. Maintenant lancer www.voila.fr, actualiser encore. Compris ? Le nombre de connexions ouvertes est significativement plus grand avec la page de voila.fr et l'on comprend pourquoi en regardant son contenu.
Donc a priori rien d'anormal sur le grand nombre de connexions ouvertes, surtout si la destination est une ip publique : port 80. Je vous confirme que votre firewall est amplement dimensionné et qu'il ne perturbe pas votre accès à internet. Sur le Cisco j'en doute aussi.
Votre problème de débit peut avoir de multiples origines, y compris la présence d'un fort rayonnement électromagnétique à proxilité d'un cable réseau. Avez vous consulté votre fournisseur d'accès ?
Des changements récents y compris ceux qui semblent anodins ?
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par JN-M » 17 Oct 2007 22:49
Bonsoir,
Je vous remercie de l'attention que vous portez à mes interrogations
En fait, lorsque je dis que j'ai 12 connexions actives dans ce menu "Connexions", j'ai 11 lignes identiques avec le port source différents (bien sur...) en TIME_WAIT, mais pour le port de destination, il est identique et l'adresse IP aussi.
L'exemple, je lance la console d'admin IPCOP avec IE, je retrouve 11 connexions sur l'adresse IP Interne de mon Firewall : 11 lignes avec 192.168.128.169:... -> 192.168.128.2:445 en TIME_WAIT et 1 avec le status ESTABLISHED.
Les autres connexions qui étaient en TIME_WAIT finissent en closed et disparaissent ensuite.
C'est en fait le lancement d'une application qui utilisent le firewall pour sortir !
Autre exemple, MSN ne me provoque pas ces multitudes de connexions !! c'est IE à priori !!
Aurai il eu une mise à jour Microsoft qui pourrirai mes postes ?
Même ceux avec IE6 et NON IE7 provoque ces multitudes de connexions....
Et c'est pareil pour tous nos postes !
Concernant les changements, je n'en n'ai pas fait sur le firewall , ni dans l'environement physique autour du Firewall.
J'ai redémarré à plusieurs reprises le routeur pour voder la table NAT mais sans succès car elle se remplissait en quelques minutes....
Sinon pour mon FAI, je lui en a parlé : il n'a rien vu d'anormal sur le routeur, pas de problème de perf.... hormis ce natage excessif qu'il ne voyait pas avant la mise en place du routeur.
De toute facon, le Firewall a été mis en place il y a environ 4 mois et mes problèmes ont commencé fin aout.
Je vais tout de même re regarder l'environnement autour du firewall : cables, positionnement....
Le MTU pourrait il etreen cause ?
En faisant, des tests ping avec différentes tailles de MTU, j'arrive à un MTU 1100 pour ne pas avoir de DF de packet !!
Et mon MTU de mon GREEN est de 1500 et de même pour le RED....donc est ce que ca peut jouer?? et pourquoi ce changement maintenant...???
La semaine prochaine une SDSL de 2MO va nous être posé avec un nouveau routeur.
Je voulais trouvé une solution avant ce changement...
Je vous remercie de votre retour sur le sujet!!
Merci ccnet
Je vous remercie de l'attention que vous portez à mes interrogations
En fait, lorsque je dis que j'ai 12 connexions actives dans ce menu "Connexions", j'ai 11 lignes identiques avec le port source différents (bien sur...) en TIME_WAIT, mais pour le port de destination, il est identique et l'adresse IP aussi.
L'exemple, je lance la console d'admin IPCOP avec IE, je retrouve 11 connexions sur l'adresse IP Interne de mon Firewall : 11 lignes avec 192.168.128.169:... -> 192.168.128.2:445 en TIME_WAIT et 1 avec le status ESTABLISHED.
Les autres connexions qui étaient en TIME_WAIT finissent en closed et disparaissent ensuite.
C'est en fait le lancement d'une application qui utilisent le firewall pour sortir !
Autre exemple, MSN ne me provoque pas ces multitudes de connexions !! c'est IE à priori !!
Aurai il eu une mise à jour Microsoft qui pourrirai mes postes ?
Même ceux avec IE6 et NON IE7 provoque ces multitudes de connexions....
Et c'est pareil pour tous nos postes !
Concernant les changements, je n'en n'ai pas fait sur le firewall , ni dans l'environement physique autour du Firewall.
J'ai redémarré à plusieurs reprises le routeur pour voder la table NAT mais sans succès car elle se remplissait en quelques minutes....
Sinon pour mon FAI, je lui en a parlé : il n'a rien vu d'anormal sur le routeur, pas de problème de perf.... hormis ce natage excessif qu'il ne voyait pas avant la mise en place du routeur.
De toute facon, le Firewall a été mis en place il y a environ 4 mois et mes problèmes ont commencé fin aout.
Je vais tout de même re regarder l'environnement autour du firewall : cables, positionnement....
Le MTU pourrait il etreen cause ?
En faisant, des tests ping avec différentes tailles de MTU, j'arrive à un MTU 1100 pour ne pas avoir de DF de packet !!
Et mon MTU de mon GREEN est de 1500 et de même pour le RED....donc est ce que ca peut jouer?? et pourquoi ce changement maintenant...???
La semaine prochaine une SDSL de 2MO va nous être posé avec un nouveau routeur.
Je voulais trouvé une solution avant ce changement...
Je vous remercie de votre retour sur le sujet!!
Merci ccnet
- JN-M
- Matelot
- Messages: 10
- Inscrit le: 17 Oct 2007 17:30
- Localisation: LYON
par ccnet » 18 Oct 2007 11:25
Sinon pour mon FAI, je lui en a parlé : il n'a rien vu d'anormal sur le routeur, pas de problème de perf.... hormis ce natage excessif qu'il ne voyait pas avant la mise en place du routeur.
Le routeur fait il aussi office de modem ? Si oui son fonctionnement en pont est il possible ? Vous seriez fixé sur son impact sur votre débit.
Le mtu peut jouer, mais ce n'est pas un problème à ce point. De plus il y a des milliers de configurations comme la votre qui sont satisfaisantes.
Si vous pouviez tester la configuration où l'ip publique (statique ? plusieurs ?) est sur l'interface RED de l'ipcop ce serait idéal.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par JN-M » 18 Oct 2007 12:21
en fait je m sui trompé dans mon explication : il n'y avait pas de natage excessif sur le routeur avant la mise en place du FIREWALL !! 
Comme je vous le disais, la semaine prochaine , un nouveau routeur est mis en place avec une nouvelle ligne SDSL, et là il y aura une IP publique sur la patte RED d'IPCOP !!
Donc je verrai ca la semaine prochaine s'il y a du mieux avec cette nouvelle configuration !!
Merci encore de votre réponse !!
Comme je vous le disais, la semaine prochaine , un nouveau routeur est mis en place avec une nouvelle ligne SDSL, et là il y aura une IP publique sur la patte RED d'IPCOP !!
Donc je verrai ca la semaine prochaine s'il y a du mieux avec cette nouvelle configuration !!
Merci encore de votre réponse !!
- JN-M
- Matelot
- Messages: 10
- Inscrit le: 17 Oct 2007 17:30
- Localisation: LYON
par Franck78 » 18 Oct 2007 12:34
Salut,
Je rappelle à tout hazard la présence de l'utilitaire 'iptstate' (IP Table State) sur IPCop. Pas très différend de la version GUI mais rafraichissement 'immédiat' des infos affichées.
Bye
Je rappelle à tout hazard la présence de l'utilitaire 'iptstate' (IP Table State) sur IPCop. Pas très différend de la version GUI mais rafraichissement 'immédiat' des infos affichées.
Bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par JN-M » 18 Oct 2007 16:49
Merci de ta remarque Franck78 !!
Je regarde et je vois ce qu'il en est !!
Mais j'ai remonté une autre machine IPCOP et je l'ai mis en connexion avec un cable croisé sur la patte GREEN.
Je retrouve encore ma dizaine de connexion avec les 9/10 en TIME_WAIT et 1 seule en established...
Et j'ai qu'une seule machine connectée sur le green...donc bizarre..
Merci encore !!
Je regarde et je vois ce qu'il en est !!
Mais j'ai remonté une autre machine IPCOP et je l'ai mis en connexion avec un cable croisé sur la patte GREEN.
Je retrouve encore ma dizaine de connexion avec les 9/10 en TIME_WAIT et 1 seule en established...
Et j'ai qu'une seule machine connectée sur le green...donc bizarre..
Merci encore !!
- JN-M
- Matelot
- Messages: 10
- Inscrit le: 17 Oct 2007 17:30
- Localisation: LYON
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité