bonjour à tous!
j’ai un probleme avec mon serveur sous debian. Je vois que la loupiote de la carte reseau clignotte comme une folle et ma connexion internet est extrêmement ralentie!
Quand j’éteins le serveur je peux a nouveau naviguer tranquillement mais des que je le rallume la diode reseau s’affolle à nouveau
Ce que j’ai du faire c’est eteindre le serveur et le modem! rallumer le serveur et constater que la diode etait tranquille avant de rallumer le modem! Maintenant ça remarche mais je ne sais pas pour combien de temps! (il ya qques mois j’avais eu le même probleme en pire puisque cette fois là ça bloquait completement le modem et le probleme ne s’était plus posé apres une mise a jour du serveur)
Ma question est donc : est ce que vous avez une idée de la raison pour laquelle le serveur surcharge ainsi la connexion du modem!
Y’a t il une commandes à utiliser pour tester les applis qui tentent d’acceder à l’exterieur et qui pourrait causer ce probleme?
merci pour l’aide que vous pourrez eventuellement m’apporter :jap:
Tin serveur de quoi?? Peux tu expliquer de quoi est constitué ton réseau? Ca aiderait.
Une application pour surveiller le traifc? Hum là aussi ça dépend de ce que l’on cherche :
- un firewall qui loge tout ou presque peut servir
- tcpdump et wireshark sont des outils pratiques pour voir ce qui se passe sur un réseau.
merci de te pencher sur mon pb
configuration de mon ipcop:
Donc j’ai les 3interfaces rouge orange et vert
La rouge est relié a un modem alcatel speedtouch home modifié en 510 qui gere la (re)connexion avec mon FAI et qui laisse passer tout le traffic (donc pas de firewall) vers IPCOP
L’orange donc vers mon serveur (messagerie + web)
et la verte vers mon PC que j’utilise pour tout le reste.
le probleme est que de temps à autre la diode de la carte réseau du portable qui fait serveur s’emballe et ne s’arrête plus de clignoter et ça bloque le modem ce qui rend l’acces internet tres lent!
j’ai fait un apt-get update + apt-get upgrade mais ça a recommencé! j’ai du eteindre le modem et le serveur puis redemarrer le serveur puis le modem pour que ça remarche pdt un peu plus d’une heure puis ça recommencé! Du coup j’ai debranché le cable reseau du serveur pour le rebrancher qques minutes apres et là pour le moment ça a l’air de marcher mais je ne sais pas si ça va durer et surtout j’aimerais comprendre!
je vais voir ce que je trouve sur tcpdump et wireshark! :jap:
j’ai installé tcpdump! maintenant faut que je comprenne comment analyser les résultats :paf:
pour une vision rapide de l’activité réseau, utilise “iptraf” directement en console sur le serveur
c’est un pti utilitaire qui montre les connections actives (tcp & udp) et qui liste le nb de paquets, etc…
tu peut classer par interface, utiliser des filtres… bref quand tu veux voir en temps réel l’activité sans avoir d’interface, c’est plus parlant que tcpdump 
tcpdump c’est plus pour du débugging réseau, genre tester une appli ou une config de firewall. le système de filtre est puissant mais si tu veux tout visualiser ca va etre lourd
sinon, utilise tcpdump pour créer un fichier binaire au format pcap de tes traces réseaux et visualise les avec wireshark (ancien ethereal) sur ton pc desktop 
merci pour ces conseils je vais voir ce que j’arriverai à faire si le probleme se repose à nouveau :jap:
directement en console sur le serveur cad que ça fonctionne seulement avec le serveur X de demarré?
alors j’ai du nouveau: ça arecommencé et j’ai lancé un tcpdump que j’ai ouvert avec ethereal
et dans les paquets que je trouve y’en a bcp ou y’a marqué: TCP WINDOW FULL vers une ip un peu louche d’australie semble t il sur le protocole SMTP
le temps que j’analyse un peu ça la connexion a remarché toute seule sans que je deconnecte le serveur
vous savez a quoi correspond TCP WINDOW FULL? ça ressemble je dirais à des données qui arrive trop vite pour être gérée non?
dixit google :
It just means that the data sender is sending more quickly than the
receiver can process the data. No matter how much memory you have, if
you can’t consume the incoming data as quickly as it arrives, you’ll
eventually fill the buffer, and the window will close.
en gros on sature ton serveur ( un espece de ddos quoi)
met un firewall et bloque cette ip si ti veut pas d emmerde
pas mieux :jap:
en bidouillant un peu iptables, tu peut effectuer ce controle dynamiquement
dg-switcher : Merci d’avoir pris la suite 
Si tu ne connais pas la syntaxe d’iptables, celle de shorewall est plus simple (shorewall utilise bien sûr iptables en interne).
Hum attends, j’ai lu en diagonale et je ne comprends pas qqch :
Est ce “toi” qui essaye de te connecter sur un seveur SMTP “louche” ou c’est une ip louche qui te prend pour un serveur SMPT??
c est un serveur smtp louche qui se connecte a lui je dirais d ou le ralentissement sur son reseau
firestarter comme firewal (enfin c est juste la partie graphique derriere ca doit etre iptable)
non c’est ça qui est etrange: la source b’est l’ip de mon serveur et la destination l’ip exterieure 
comme j’ai ipcop j’aimerais si vous pouviez que vous m’expliquer comment bloquer une IP avec! ça peut me servir pour d’autres choses en plus
IPCOP utilise iptable il me semble mais j’y connais rien! est ce que vous connaissez un site qui expliquer simplement comment créer des regles?
ça doit être quelque chose comme :
iptables -A OUTPUT -d <ip du serveur distant d'australie> -j DROP
http://www.lea-linux.org/cached/index/Rese…u-iptables.html
j’ai installé finalement banish sur mon ipcop http://ww2.banish.sidsolutions.net:8081/
ça marche bien et c’est plus simple pour moi :ane:
j’vais voir la prochaine fois que ça bloque si ça marche en bannissant l’ip qui me semblerait etrange.
Merci à tous pour votre aide précieuse! :jap:
Bloquer cette ip est une bonne chose mais il faudrait comprendre pourquoi il essaye de s’y connecter…
Quels sont les logiciels qui pouraient utiliser SMTP sur cette machine?
Je ne suis pas parano mais ne machine qui fait du STMP “toute seule”, c’est plus que louche (spam…)
c vrai qu’il faudrait savoir ce qui envoi des données sur cette ip car bloquer l’ip ne fait peut-être que résoudre le problème temporairement et ne résoud pas forcement tout le problème.
j’ai un serveur mail donc l’activité SMTP est normal. Peut-être que le serveur reagissait à un SPAM en tout cas ça y ressemblait pour ce que j’en ai pu voir
j’ai pas bloqué l’IP dans l’attente de voir si ça se reproduit et si ça vient du même endroit et dans ce cas je suspecterait une tentative de piratage ou serveur SMTP fantôme qu’il faudrait blacklister :neutre:
Je me demande si ça pourrait pas eventuellement aussi être lié au problemes de communication qui ont touché l’asie et par effet domino l’australie
Genre ton SMTP qui n’arriverait pas à joindre un ip suite à cetet coupure?
Je ne pense pas car les RFC impose de réessayer mais à un rythme qui n’a rien à voir avec la saturation d’une interface réseau ;). Ca reste donc louche.
sur ton antispam, vérifie si tu as une option d’activée qui notifie l’émetteur du spam qu’il envoi des mails frauduleux
sur un gros volume de spam, ca peut saturer une connection 