Lenteurs Apache suite ajout règle IPTABLES

VinZz972 · 07/07/2011, 16h36

Bonjour,
Je rencontre un problème sur mon serveur sous Ubuntu.
Je viens de rajouter un règles IPTABLE bloquant les requêtes ICMP entrantes et suite à cette modif, l'accès aux pages de mon serveur web est vraiment lent.
Environ 10 secondes contre 1 avant.
Quand je supprime la règle IPTABLE, Apache retrouve sa vitesse normale.

Je n'ai rien d'autre que cette règle.

/etc/iptables.up.rules

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# Generated by iptables-save v1.3.8 on Thu Jul  7 15:52:40 2011
*nat
:PREROUTING ACCEPT [1:60]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Thu Jul  7 15:52:40 2011
# Generated by iptables-save v1.3.8 on Thu Jul  7 15:52:40 2011
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Jul  7 15:52:40 2011
# Generated by iptables-save v1.3.8 on Thu Jul  7 15:52:40 2011
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p icmp -j DROP
COMMIT
# Completed on Thu Jul  7 15:52:40 2011

J'ai effectué tous mes tests en local.

Mygale1978 · 07/07/2011, 17h30

Salut,

Peux-tu retirer cette règle de iptable et ajouter le paramètre kernel suivant dans le fichier /etc/sysctl.d/10-network-security.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
net.ipv4.icmp_echo_ignore_all = 1

Ensuite

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
sysctl -p  /etc/sysctl.d/10-network-security.conf

Pour que la nouvelle valeur soit prise en compte et vérifier que ce soit bien le cas (elle doit avoir la valeur 1).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
sysctl -a | grep 'net.ipv4.icmp_echo_ignore_all'

Ensuite test ping et test apache pour voir si les lenteurs persistent

VinZz972 · 08/07/2011, 10h15

Super, merci ça fonctionne impec.
Par contre, j'ai été obligé d'adapter le code

/etc/sysctl.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_echo_ignore_all = 1

Puis :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sysctl -p  /etc/sysctl..conf

Mygale1978 · 08/07/2011, 11h00

Oki,

Je ne sais pas quelle version d'ubuntu tu utilises mais j'avais effectué ce test sur la 10.04.

N'oublie pas le tag résolu si tout est en ordre.

08/07/2011, 11h00	#4
Mygale1978 Expert Confirmé Sénior Laurent Willems Expert Stop/Start Inscription : septembre 2002 Messages : 2 551 Détails du profil Informations personnelles : Nom : Laurent Willems Âge : 33 Localisation : Belgique Informations professionnelles : Activité : Expert Stop/Start Informations forums : Inscription : septembre 2002 Messages : 2 551 Points : 4 271 Points : 4 271	Oki, Je ne sais pas quelle version d'ubuntu tu utilises mais j'avais effectué ce test sur la 10.04. N'oublie pas le tag résolu si tout est en ordre. __________________ Alea Jacta Test!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email