Iptables + Apache = Lent

Version imprimable

Bonjour,

Mon firewall iptables ralenti très fort le chargement de mes pages web (via Apache). Le problème se pose principalement au niveau des images qui sont très lentes à charger.

Est-ce du à une mauvaise configuration de mon firewall? Sinon, que puis-je utiliser comme firewall pour qu'Apache reste rapide?

Mon script iptables :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
 
#!/bin/sh
 
# Variables
IFNET="eth0"
IPNET="91.121.82.37"
 
LOOPBACK="127.0.0.0/8"
CLASS_D_MULTICAST="224.0.0.0/4"
CLASS_E_RESERVED_NET="240.0.0.0/5"
 
# Empty all chains
iptables -F
 
# Delete non standard chains
iptables -X
 
# Close all ports
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Accept all traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# Against spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
 
# Deny ping (icmp 8)
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Deny broadcast responses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Deny source packets routing
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Deny ICMP redirection
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Activate ICMP errors protection
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
 
# SYN-FLOODING PROTECTION
iptables -N syn-flood
iptables -A INPUT -i $IFNET -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
 
# Verify that new TCP connection are SYN packets
iptables -A INPUT -i $IFNET -p tcp ! --syn -m state --state NEW -j DROP
 
# SPOOFING
iptables -A INPUT -i $IFNET -s $IPNET -j DROP
# Deny multicast packets (class D).
iptables -A INPUT -i $IFNET -s $CLASS_D_MULTICAST -j DROP
# Deny packets from reserved address (class E).
iptables -A INPUT -i $IFNET -s $CLASS_E_RESERVED_NET -j DROP
# Dey packets on loopback
iptables -A INPUT -i $IFNET -d $LOOPBACK -j DROP
 
# Allow SSH
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
 
# Accept HTTP traffic
iptables -A INPUT -i $IFNET --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
 
# Output traffic
# Accept DNS traffic
iptables -A INPUT -i $IFNET --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -i $IFNET --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol udp --destination-port 53 -j ACCEPT
 
# Accept HTTP traffic
iptables -A INPUT -i $IFNET --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $IFNET --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
 
# Ping
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
 
# End

Merci d'avance!

21/12/2007, 14h43
deny

Citation:

Mon firewall iptables ralenti très fort le chargement de mes pages web (via Apache). Le problème se pose principalement au niveau des images qui sont très lentes à charger.

salut
peut-être pourrais-tu optimiser les images de tes pages web ?

Citation:

Est-ce du à une mauvaise configuration de mon firewall? Sinon, que puis-je utiliser comme firewall pour qu'Apache reste rapide?

peut être implementer qos ?
exemple :

Citation:

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3128 -j TOS --set-tos Maximize-throughput

PS : modérateur : je suis obligé de mettre mes balises quote à la mimine
aucune icone de formatge du site ne fonctionne
mandriva 2008 x64
21/12/2007, 15h00
Mookie

Merci pour ta réponse.

Ce sont des png de quelques ko, rien de bien méchant.

J'ai essayé QoS mais ça ne change rien.
21/12/2007, 15h02
deny

pourquoi ne passes-tu pas par un proxy ?
tu installes squid par exemple , et dans ton navigateur tu le parametres
comme serveur proxy, cela devrait ramer moins

a+
21/12/2007, 16h35
Mookie

Je configure un serveur web, sur lequel vont être hébergés plusieurs sites.
Je ne vois pas l'intérêt de configurer un proxy, je ne vais pas demander à tous les internautes de configurer leur browser avec mon proxy. (Et en fait je ne comprends pas trop pourquoi tu me parles de proxy :D)

J'ai donc un Apache qui tourne sur mon serveur.
Mais les images de mes sites web s'affichent très lentement lorsque iptables est activé sur mon serveur.
21/12/2007, 16h59
deny

Citation:

je configure un serveur web, sur lequel vont être hébergés plusieurs sites.
Je ne vois pas l'intérêt de configurer un proxy, je ne vais pas demander à tous les internautes de configurer leur browser avec mon proxy. (Et en fait je ne comprends pas trop pourquoi tu me parles de proxy

desolé , je pensais que ces images pouvaient être distribuées dans le cadre d' un reseau local
auquel cas le proxy etait un element à prendre en compte
21/12/2007, 18h03
granquet

je suspecte la partie 'syn-flood protection' d'être à l'origine du ralentissement.

il y'as des outils iptables plus ou moins évolués qui te permettent de voir ce qu'il se passe en temps reel (je ne connais qu'iptraf, qui n'est pas vraiment trés complet), peut être une solution pour voir les effets de tes régles?
22/12/2007, 12h29
Mookie

Merci, je vais regarder ça et je te tiens au courant.
22/12/2007, 14h40
Mookie

C'était bien la partie syn-flood protection qui causait le problème.
Merci pour ton aide!