Problème de paquets perdus

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Problème de paquets perdus

Messagepar Franky05 » 15 Mars 2011 15:51

Bonjour à tous,

Je rencontre depuis quelques jours des problèmes de ralentissement d'affichage des pages Internet que j'impute au pourcentage élevé de paquets perdus que j'ai relevé sur un graphique issu de sme7admin.

Configuration :

- Modem/routeur bridgé

- IPCop 1.4.21 : red (192.168.0.2) ; orange (192.168.2.x); green (192.168.1.x). Addon installé : BOT.

- SME Server 7.5.1 à jour : server only, faisant office de proxy en zone orange. IP = 192.168.2.3.

- Postes clients : en zone green. IP = 192.168.1.X

Cette configuration fonctionne depuis septembre 2010 et n'a rencontrée aucun problème jusqu'à maintenant. Depuis une semaine : ralentissement du surf, certains pages ne s'affichent plus. Le téléchargement se déroule correctement (la vitesse limite de la connexion est atteinte immédiatement).
Sur les graphiques de sme7admin (certains diront qu'il ne faut pas s'y fier mais la coïncidence est troublante....) : 27 % de paquets perdus en moyenne sur le graphique "Target Ping Latency" alors que cela ne s'était jamais produit.

Dans les logs de squid :

- cache.log :
2011/03/14 14:03:05| WARNING: unparseable HTTP header field {us-lw-5}
2011/03/14 16:54:43| ctx: enter level 0: 'http://www.cashtrafic.com/script/java.php?id=185924&ban=14062&data=&msg_plugin=Des%20plugins%20additionnels%20sont%20n%E9cessaires%20pour%20afficher%20tous%20les%20t%E9l%E9ments%20de%20cette%20page.'
2011/03/14 16:54:43| WARNING: unparseable HTTP header field {us-lw-4}
2011/03/14 16:54:43| ctx: exit level 0
2011/03/14 16:54:43| WARNING: unparseable HTTP header field {us-lw-4}
2011/03/14 16:54:44| ctx: enter level 0: 'http://www.cashtrafic.com/script/java.php?id=112523&ban=6727&data='
2011/03/14 16:54:44| WARNING: unparseable HTTP header field {us-lw-5}
2011/03/14 16:54:44| ctx: exit level 0
2011/03/14 16:54:44| WARNING: unparseable HTTP header field {us-lw-5}
2011/03/14 16:54:45| ctx: enter level 0: 'http://www.cashtrafic.com/script/packcpm.php?id=112523&data='
2011/03/14 16:54:45| WARNING: unparseable HTTP header field {us-lw-5}
2011/03/14 16:54:45| ctx: exit level 0
etc...........
2011/03/15 09:43:37| storeUfsCreate: Failed to create /var/spool/squid/00/3A/00003A20 ((2) No such file or directory)
2011/03/15 09:43:37| storeUfsCreate: Failed to create /var/spool/squid/00/3A/00003A21 ((2) No such file or directory)
2011/03/15 09:43:37| storeUfsCreate: Failed to create /var/spool/squid/00/3A/00003A22 ((2) No such file or directory)
2011/03/15 09:43:37| storeUfsCreate: Failed to create /var/spool/squid/00/3A/00003A23 ((2) No such file or directory)
2011/03/15 09:43:37| storeUfsCreate: Failed to create /var/spool/squid/00/3A/00003A24 ((2) No such file or directory)
2011/03/15 09:43:37| storeUfsCreate: Failed to create /var/spool/squid/00/3A/00003A25 ((2) No such file or directory)
etc...........

Voilà, mis à part le fait d'avoir vidé le cache squid avec la commande rm -fr /var/spool/squid/* quand les ralentissements ont commencé à apparaître, la config date de septembre 2010 sans aucune modif de ma part si ce n'est les MAJ.

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Problème de paquets perdus

Messagepar jdh » 15 Mars 2011 16:10

(Je ne suis pas spécialiste SME.)

Pour effacer "proprement" le cache de Squid, il faut :
- arrêter Squid,
- supprimer les index : /var/spool/squid/swap.state*,
- en option, supprimer l'arborescence : /var/spool/squid/00 à 0F ou plus, selon le niveau configuré,
- redémarrer Squid : Squid va recréer l'arborescence.

(squid -k reconfigure ?)

Donc, supprimer l'arbo n'est pas suffisant et explique les messages cités !


NB : Tout cela est bien mieux expliqué dans la FAQ de Squid ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Problème de paquets perdus

Messagepar Franky05 » 15 Mars 2011 16:50

Merci jdh pour ta réponse,

Entre mon post et le tien, j'ai chopé les gl....s et comment dire....j'ai vidé le cache à la main......J'ai supprimé tous les dossiers du cache ainsi que swap.state puis redémarré SME. Je suis conscient que cette méthode radicale n'arrange rien à mon affaire.....mais bon c'est fait.... Résultat la situation n'a pas vraiment changé.

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Problème de paquets perdus

Messagepar Franck78 » 16 Mars 2011 02:04

Salut,
IPCop 1.4.21 : red (192.168.0.2) ; orange (192.168.2.x); green (192.168.1.x). Addon installé : BOT.

SME Server 7.5.1 à jour : server only, faisant office de proxy en zone orange. IP = 192.168.2.3.


C'est à cause de la discussion 'pas de proxy sur le firewall' ce montage ?

Les naviguateurs pointent vraiment la SME ? Pas IPCop activé en mode transparent ??

De toute façon, rebasculer le proxy http sur IPCop le temps d'installer une simple debian et hop, plus de problème.....
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Problème de paquets perdus

Messagepar Franky05 » 16 Mars 2011 10:15

Salut,

C'est à cause de la discussion 'pas de proxy sur le firewall' ce montage ?


Oui, j'ai fait confiance aux personnes du forum beaucoup plus compétentes que moi dans ce domaine. De mon propre avis je me suis que le rôle premier d'un firewall n'était pas de faire proxy mais de me protéger. Je me suis dit aussi qu'un proxy dédié me permettrait d'alléger la charge de mon firewall mais la raison primordiale pour moi reste que j'ai greffé Dansguardian (gourmand) sur squid avec l'interface de chez Dungog qui me simplifie grandement la tâche lors de mes paramétrages (je crois me souvenir qu'il existait un addon pour ipcop qui faisait sensiblement la même chose en moins complet......à voir).

Les naviguateurs pointent vraiment la SME ? Pas IPCop activé en mode transparent ??


Oui, firefox et IE sont paramétrés avec l'adresse du proxy SME et le port 8080 (avec impossibilité de modifier ces paramétrages de la part de mes users). IPCop, par le biais de BOT, ne laisse sortir que le proxy filtrant sur le net. Si jamais un petit malin arrivait à contourner la GPO (contrôleur de domaine Sambaedu) qui gère les paramétrages de mes navigateurs alors il ne pourrait tout simplement plus surfer. Squid est désactivé sur IPCop.

Je pensais que cette configuration faisait l'affaire mais si t as des suggestions je suis toujours preneur.

Bien cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Problème de paquets perdus

Messagepar jibe » 17 Mars 2011 01:14

Salut,

"Pas de proxy sur un firewall", Ok. Mais il y a aussi "Pas de SME derrière Ipcop" :P

Bon, d'accord : là, c'est en serveur seul dans une DMZ, c'est un peu différent. Mais quand même...

Contradictoires, nos conseils ? Non, pas vraiment : Ipcop n'est pas conçue pour faire proxy, et quitte à en mettre un, il faut le séparer du firewall. Mais pour SME, c'est tout différent : Out of the box, SME fait firewall+proxy, a bien été conçue pour ça. Donc, la règle "pas de proxy sur un firewall", tout en restant parfaitement valable, ne s'applique pas à SME pour les raisons que je viens d'évoquer.

Donc, Franck78 a raison : Tu mets Ipcop+Debian si tu veux respecter le premier conseil (pas de proxy sur un firewall). Mais tu peux aussi mettre SME en frontal sur le web et virer ton ipcop. :wink:

Quel est le mieux ? Sur le plan de la sécurité, indéniablement ipcop+debian (ou si tu n'aimes pas debian, CentOS - très proche de SME - ou ce que tu veux). SME n'est qu'une solution économique, qui remplit admirablement bien son rôle et qui suffit amplement dans un très grand nombre de cas ! Mais sur le plan de la simplicité de mise en oeuvre et d'administration, SME est indiscutablement à préférer.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Re: Problème de paquets perdus

Messagepar Franck78 » 17 Mars 2011 02:12

Hello,

Ma foi, tu sembles bien maitriser ton affaire. Puisque le SME n'est que proxy, réinstalles-en un sans coup férir sur une autre machine. Privilégie un max de ram, temporairement si il faut, un cache squid/disque pas énorme (10 - 20 gigas).

Ensuite c'est à toi de voir ! Mise à jour complète immédiate ou pas ? Modif manuelle à la sauvage ou pas ? Tu notes ce que tu fais, attend un peu pour voir si le problème réapparait puis modif suivante.
Ou tous tout de suite. Comme ça tu es fixé rapidement.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Problème de paquets perdus

Messagepar Franky05 » 17 Mars 2011 15:39

Bonjour,

@ jibe : je connais le post auquel tu fais référence. Depuis 2008 j'ai eu le temps d'en lire des posts et des posts pour essayer de sortir de mon ignorance :). Alors pourquoi j'ai mis une SME en DMZ d'IPCop et pas une Debian + Squid ? SME possède une interface graphique de paramétrages et pour un gars comme moi cela facilite grandement la tâche. Dansguardian, installé en tandem avec squid, se paramètre aisément à partir de l'interface de ma SME et ça j'aime. Mon inscription sur ce forum coïncide avec ma découverte de SME et j'ai donc quelques rudiments avec la SME (très loin de la maîtrise de certains d'entre vous)mais j'ai eu configuré à l'époque squid et dansguardian à la main. Debian + Squid ? J'ai essayé en m'appuyant sur webmin mais bel échec avec les paramétrages du proxy (je préfère encore toucher le fichier squid.conf à la main dans SME) et dansguardian ne se greffe pas très bien dessus (enfin JE n'ai pas bien réussi à tout faire fonctionner correctement). Voilà, je suis d'accord avec toi par rapport aux raisons citées dans le post référencé et de plus c'est vrai qu'avoir une SME pour un simple proxy filtrant fait un peu usine à gaz. Le top pour moi ? Une centos avec interface web d'où je puisse paramétrer Dansguardian et squid :D....ne rêvons pas, il faut de toute évidence mettre les mains dans le cambouis...J'attends les prochaines vacances scolaires.

@Franck78 : c'est fait réinstalle complète, reparamétrages (rapide puisque config sauvegardée), tout roule comme en début d'année....on verra si le phénomène se reproduit.

Merci de votre aide.

Bien cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Problème de paquets perdus

Messagepar Franck78 » 17 Mars 2011 15:48

puisse paramétrer Dansguardian et squid

Prend un IPCop + squidguard alors ! IPCop correctement réglé fontionne avec une seule interface green et n'est plus un firewall.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Problème de paquets perdus

Messagepar jibe » 17 Mars 2011 17:33

Salut,

Franky05 a écrit:Alors pourquoi j'ai mis une SME en DMZ d'IPCop et pas une Debian + Squid ?

Oui, j'ai bien compris pourquoi tu as pris SME et pas Debian. C'est vrai que, dans ce cas, tu n'as qu'à installer les contribs voulues et utiliser SME de la manière dont elle est prévue.

Mais alors, pourquoi la mettre en DMZ ? Une architecture avec DMZ est bien moins facile à mettre en place qu'une simple SME en serveur-passerelle. Donc :
- Soit tu veux séparer les tâches, et tu es capable de le faire, dans ce cas tu mets Ipcop+Debian en DMZ (ce qui ne pose pas de problème, puisque tu sais t'en débrouiller),
- Soit tu veux une solution simple et sûre sans te prendre la tête, et tu installes une SME en frontal.

Franky05 a écrit:c'est fait réinstalle complète, reparamétrages (rapide puisque config sauvegardée), tout roule comme en début d'année....on verra si le phénomène se reproduit.

Bon, ça marche et c'est le principal. Tant mieux ! Mais du coup, tu as éliminé le problème sans le résoudre. Il y a donc des chances qu'il réapparaisse tôt ou tard, et tu en seras de nouveau au même point.

Avec une SME en frontal, tu élimines aussi le problème sans le résoudre. Mais du même coup, tu en élimines l'origine, qui est probablement un problème entre ipcop et SME, en tous cas un problème lié à la DMZ...

Si j'ai bien compris son dernier post, ce que te suggère Franck78 est aussi de supprimer la DMZ et de mettre une seconde Ipcop dans le LAN pour ton proxy. C'est une solution qui me parait bien meilleure (pour ton cas !) que ta SME en DMZ. Note que Franck prêche pour sa chapelle, et que je vais prêcher pour la mienne en disant que tu peux faire la même chose avec une SME :wink: Mais bon, avec SME une seule bécane suffit, pourquoi mettre deux SME : la séparation du firewall et du proxy, dans ce cas, n'apporte rien et complique les choses. Avec Ipcop, elle reste conseillée et donc il faut 2 ipcop.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Re: Problème de paquets perdus

Messagepar Franky05 » 19 Mars 2011 12:09

Bonjour,

Franck78 a écrit:Prend un IPCop + squidguard alors ! IPCop correctement réglé fonctionne avec une seule interface green et n'est plus un firewall.


J'en ai fait l'amère expérience l'an dernier. IPCop + Squidguard, blacklist de l'université de Toulouse avec mise à jour hebdomadaire, etc etc...Certains élèves, en passant par des proxys arrivaient tout de même à surfer sur des sites interdits (facebook en particulier). J'aurais pu interdire tout le surf et n'autoriser que les sites de la whitelist.....mais là je m'exposais à des demandes répétées pour débloquer ci ou débloquer ça. Dansguardian permet une restriction plus fine de mon point de vue. Mais je n'ai peut-être pas utiliser squidguard de manière optimale. Quoiqu'il en soit j'aimerai bien garder le tandem squid-dansguardian.

jibe a écrit:- Soit tu veux séparer les tâches, et tu es capable de le faire, dans ce cas tu mets Ipcop+Debian en DMZ (ce qui ne pose pas de problème, puisque tu sais t'en débrouiller),
- Soit tu veux une solution simple et sûre sans te prendre la tête, et tu installes une SME en frontal.


Je ne peux me passer d'IPCop, BOT me rend trop de services pour que je puisse l'abandonner et pour les raisons citées plus haut, il me faut un autre serveur qui puisse me faire tourner squid + dansguardian.

jibe a écrit:Bon, ça marche et c'est le principal. Tant mieux ! Mais du coup, tu as éliminé le problème sans le résoudre. Il y a donc des chances qu'il réapparaisse tôt ou tard, et tu en seras de nouveau au même point.


Tout à fait d'accord....

Je vais me pencher sur une debian/centos + squid + dansguardian. Je n'ai pas l'habitude de demander ça (je cherche un peu avant...;)) mais si vous avez des liens qui puisse m'aider, je prendrai bien volontiers....

Merci encore pour votre aide précieuse.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Problème de paquets perdus

Messagepar jibe » 19 Mars 2011 22:58

Salut,

Franky05 a écrit:Je vais me pencher sur une debian/centos + squid + dansguardian. Je n'ai pas l'habitude de demander ça (je cherche un peu avant...;)) mais si vous avez des liens qui puisse m'aider, je prendrai bien volontiers....

C'est bien volontiers que je te donnerais des liens si j'en connaissais : ça évitre d'y aller au pif dans les réponses google, et c'est toujours appréciable de savoir sans avoir à le lire si un tuto est bon ou pas ! Mais sur le coup, je n'ai rien d'autre que ce que pourrait me donner Google...

Par contre, je ne pense pas que tu aies beaucoup de difficultés si tu prends une CentOS : tu connais déjà :wink: Je crois que je ne me casserais pas trop la tête :
- Installation de CentOS,
- yum install squid+dansguardian

Si tu sais configurer squid et dansguardian, tu peux probablement te passer de tuto :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Re: Problème de paquets perdus

Messagepar unnilennium » 20 Mars 2011 22:22

Franky05 a écrit:Bonjour,

Franck78 a écrit:Prend un IPCop + squidguard alors ! IPCop correctement réglé fonctionne avec une seule interface green et n'est plus un firewall.


J'en ai fait l'amère expérience l'an dernier. IPCop + Squidguard, blacklist de l'université de Toulouse avec mise à jour hebdomadaire, etc etc...Certains élèves, en passant par des proxys arrivaient tout de même à surfer sur des sites interdits (facebook en particulier). J'aurais pu interdire tout le surf et n'autoriser que les sites de la whitelist.....mais là je m'exposais à des demandes répétées pour débloquer ci ou débloquer ça. Dansguardian permet une restriction plus fine de mon point de vue. Mais je n'ai peut-être pas utiliser squidguard de manière optimale. Quoiqu'il en soit j'aimerai bien garder le tandem squid-dansguardian.
.



en le configurant correctement on peut cocher les cases bloquer les services de proxy .... voir en surveillant les logs de traffic rajouer a la main ceux qui ne sont pas dedans.

Que ce soit squidguard ou dansguardian, cela passe par un filtrage de contenu basé sur une base de définition : le point en commun c'est qu'il faut mettre a jour ET adapter a ses besoins.
Les besoins de L'université de Toulouse sont surement proches mais pas les mêmes.

maintenant si tu veux installer dansguardian tu peux le faire sur ipcop , une exemple :http://www.dageek.co.uk/ipcop/addonz/dansguardian.htm ( a vérifier que c'est compatible avec ta version)

évite de multiplier les machines pour faire une seule tache : passerelle car même si tu filtre bien les élèves trouverons toujours le moyen de se connecter a la passerelle la plus permissive ....
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Re: Problème de paquets perdus

Messagepar Franky05 » 23 Mars 2011 17:15

Salut,

Je vais voir tout ça JP, merci...

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Problème de paquets perdus

Messagepar Franky05 » 12 Avr 2011 09:06

Bonjour à tous,

Je vais suivre l'idée IPCop + Copplus (http://home.earthlink.net/~copplus/index.html). J'ai testé le tout et ça me paraît viable.

En cherchant sur le forum, j'ai aussi trouvé des références sur Censornet. Je suis en train de prendre l'iso pour tester. Avez-vous des retours d'expérience sur cette distrib' ? (pour ceux qui ont participé à ce fil).

Merci d'avance.

Frank.

P.S. : @ unnilennium : les liens de téléchargement sur http://www.dageek.co.uk/ipcop/addonz/dansguardian.htm sont dead...
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron