Discussion :

[Mookie]

Bonjour,

Mon firewall iptables ralenti très fort le chargement de mes pages web (via Apache). Le problème se pose principalement au niveau des images qui sont très lentes à charger.

Est-ce du à une mauvaise configuration de mon firewall? Sinon, que puis-je utiliser comme firewall pour qu'Apache reste rapide?

Mon script iptables :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
 
#!/bin/sh
 
# Variables
IFNET="eth0"
IPNET="91.121.82.37"
 
LOOPBACK="127.0.0.0/8"
CLASS_D_MULTICAST="224.0.0.0/4"
CLASS_E_RESERVED_NET="240.0.0.0/5"
 
# Empty all chains
iptables -F
 
# Delete non standard chains
iptables -X
 
# Close all ports
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Accept all traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# Against spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
 
# Deny ping (icmp 8)
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Deny broadcast responses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Deny source packets routing
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Deny ICMP redirection
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Activate ICMP errors protection
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
 
# SYN-FLOODING PROTECTION
iptables -N syn-flood
iptables -A INPUT -i $IFNET -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
 
# Verify that new TCP connection are SYN packets
iptables -A INPUT -i $IFNET -p tcp ! --syn -m state --state NEW -j DROP
 
# SPOOFING
iptables -A INPUT -i $IFNET -s $IPNET -j DROP
# Deny multicast packets (class D).
iptables -A INPUT -i $IFNET -s $CLASS_D_MULTICAST -j DROP
# Deny packets from reserved address (class E).
iptables -A INPUT -i $IFNET -s $CLASS_E_RESERVED_NET -j DROP
# Dey packets on loopback
iptables -A INPUT -i $IFNET -d $LOOPBACK -j DROP
 
# Allow SSH
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
 
# Accept HTTP traffic
iptables -A INPUT -i $IFNET --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
 
# Output traffic
# Accept DNS traffic
iptables -A INPUT -i $IFNET --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -i $IFNET --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol udp --destination-port 53 -j ACCEPT
 
# Accept HTTP traffic
iptables -A INPUT -i $IFNET --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
 
# Ping
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
 
# End

Merci d'avance!

[deny]

Mon firewall iptables ralenti très fort le chargement de mes pages web (via Apache). Le problème se pose principalement au niveau des images qui sont très lentes à charger.

salut
peut-être pourrais-tu optimiser les images de tes pages web ?

Est-ce du à une mauvaise configuration de mon firewall? Sinon, que puis-je utiliser comme firewall pour qu'Apache reste rapide?

peut être implementer qos ?
exemple :

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3128 -j TOS --set-tos Maximize-throughput

PS : modérateur : je suis obligé de mettre mes balises quote à la mimine
aucune icone de formatge du site ne fonctionne
mandriva 2008 x64

[Mookie]

Merci pour ta réponse.

Ce sont des png de quelques ko, rien de bien méchant.

J'ai essayé QoS mais ça ne change rien.

[deny]

pourquoi ne passes-tu pas par un proxy ?
tu installes squid par exemple , et dans ton navigateur tu le parametres
comme serveur proxy, cela devrait ramer moins

a+

[Mookie]

Je configure un serveur web, sur lequel vont être hébergés plusieurs sites.
Je ne vois pas l'intérêt de configurer un proxy, je ne vais pas demander à tous les internautes de configurer leur browser avec mon proxy. (Et en fait je ne comprends pas trop pourquoi tu me parles de proxy )

J'ai donc un Apache qui tourne sur mon serveur.
Mais les images de mes sites web s'affichent très lentement lorsque iptables est activé sur mon serveur.

[deny]

je configure un serveur web, sur lequel vont être hébergés plusieurs sites.
Je ne vois pas l'intérêt de configurer un proxy, je ne vais pas demander à tous les internautes de configurer leur browser avec mon proxy. (Et en fait je ne comprends pas trop pourquoi tu me parles de proxy

desolé , je pensais que ces images pouvaient être distribuées dans le cadre d' un reseau local
auquel cas le proxy etait un element à prendre en compte

[granquet]

je suspecte la partie 'syn-flood protection' d'être à l'origine du ralentissement.

il y'as des outils iptables plus ou moins évolués qui te permettent de voir ce qu'il se passe en temps reel (je ne connais qu'iptraf, qui n'est pas vraiment trés complet), peut être une solution pour voir les effets de tes régles?

[Mookie]

Merci, je vais regarder ça et je te tiens au courant.

[Mookie]

C'était bien la partie syn-flood protection qui causait le problème.
Merci pour ton aide!