Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#176 12-08-2019 15:42:50

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

voila j'ai modifié la chain POSTROUTING comme ci dessus
mais j'ai un souci , surtout sur les clients au niveau de la boucle locale.


Je ne sais pas si ça a un rapport avec le filtrage. Tu peux essayer de revenir
à la règle précédente pour POSROUTING, mais je doute que ça ait un lien.
Si il y a beaucoup de trafic, c'est normal que la passerelle travaille beaucoup.
Il faudrait quand même regardait avec htop, ce qui prend du temps processeur.

Hors ligne

#177 12-08-2019 15:48:18

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

enicar a écrit :

Une autre optimisation serait d'utiliser « iif » à la place de « iifname » et « oif » à la place
de « oifname ». La différence c'est que iifname fait une comparaison de chaîne de caractère
alors que iif compare juste l'index numérique de l'interface qui est un entier sur 32 bits.

Il ne faut pas utiliser iif et oif pour les interfaces qui peuvent être créés et détruites dynamiquement,
comme ppp. Mais pour les interfaces ethernet ça ne devrait pas poser de problème.



il faut que le fasse sur toutes les machines je suppose ?  hmm
clients et passerelle  tongue

Hors ligne

#178 12-08-2019 15:53:27

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

il faut que le fasse sur toutes les machines je suppose ?  hmm
clients et passerelle  tongue


Normalement oui, mais ça t'enquiquine ce n'est pas la peine wink

robert2a a écrit :

je peux désactiver nftables


Si tu déactives complétement nftables, les nouvelles connexions ne vont
plus passer (plus de masquerade). Les anciennes devraient continuer de
fonctionner.

Dernière modification par enicar (12-08-2019 15:53:46)

Hors ligne

#179 12-08-2019 16:22:48

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

non test sur un client , donc pour vraiment désactiver nftables il faut redémarrer la machine (service disable )
modif :
sur la passerelle


iifname "enp6s0f1" jump local_in
 


devient


iif "enp6s0f1" jump local_in
 


et idem pour foward devient


iif "enp6s0f1" accept
 



en fait on applique comme la boucle "lo"   iif lo accept  et   oif lo accept
voila terminé (sur les clients rien a faire)

Hors ligne

#180 12-08-2019 16:42:12

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

Voici quelques logiciels qui pourraient être intéressant si tu es curieux de voir ce
qui se passe sur la passerelle :

  • iftop : permet de voir les sockets en cours avec leur débit.

  • iptraf-ng : permet de voir l'état des sockets.

  • vnstat : permet d'avoir des statistiques sur le volume qui passe
                 par chaque interface.


Je trouve cela assez sympa.

Dernière modification par enicar (12-08-2019 16:42:36)

Hors ligne

#181 12-08-2019 17:36:17

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle


vnstat

                      rx      /      tx      /     total    /   estimated
 enp6s0f0: Not enough data available yet.
 enp6s0f1: Not enough data available yet.
 


vnstat ne fonctionne pas , les deux autres sont pas mal

Hors ligne

#182 12-08-2019 18:16:04

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

vnstat ne fonctionne pas , les deux autres sont pas mal


Avec vnstat, il faut activer les interfaces à surveiller. Et ensuite il faut attendre
qu'il y ait suffisamment de données. Ça permet d'avoir des statistiques
par mois, par semaine ou par jour.

Tu peux mettre les interfaces à surveiller dans /etc/vnstat.conf.

Dernière modification par enicar (12-08-2019 18:19:48)

Hors ligne

#183 12-08-2019 19:43:58

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

Une chose qui peut aussi être intéressante sur une passerelle, c'est d'utiliser l'utilitaire
« tc » pour créer et gérer des discipline de file (avec tc qdisc pour Traffic Control et Queue Discipline).
En 2001/2002, j'avais utilisé tc pour limiter le trafic provenant d'une machine. Ça évitait
qu'elle prenne toute la bande passante.
On peut aussi favoriser le trafic qui est peu volumineux pour garder un temps
de réponse faible pour certaine communication comme le chat (mais ça je n'ai
jamais fait et je ne saurais pas le mettre en place rapidement).
C'est qu'on appelle la QOS (Quality Of Service), c'est assez complexe mais
intéressant.

Hors ligne

#184 12-08-2019 23:24:13

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

Bon je pense que tu as un pare-feu fonctionnel avec ses limitations.
Il faut toujours se dire que le pare-feu c'est le meilleur de nos ennemis wink

Hors ligne

Pied de page des forums