SSH & QoS

Le
Philippe Gayot
--0016368340d8c3409a04ae75f229
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

Dans le cadre de la mise en place d'un serveur de rebond (sous Debian
Squeeze) dans le but d'établir des connexsions SSH vers différent=
es machines
virtuelles, il est nécessaire de faire de la QoS et donc de modifier g=
râce à
iptables la valeur du champ TOS se situant dans l'en tête IP.
(Dans le cas contraire, les connexions telnet ou SSH sont systématique=
ment
rejetées par les équipements du réseau).
Voici la commande que j'ajoute dans le fichier "/etc/iptables.up.rules" :

iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 120

Pour autant, les paquets continuent à être rejetés car ils n=
e sont pas
marqués correctement

Par avance, merci.

--
Philippe Gayot

--0016368340d8c3409a04ae75f229
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>Dans le cadre de la mise en place d&#39;un serveur de rebon=
d
(sous Debian Squeeze) dans le but d&#39;établir des connexsions SSH v=
ers
différentes machines virtuelles, il est nécessaire de faire de la=
QoS et
donc de modifier grâce à iptables la valeur du champ TOS se situ=
ant
dans l&#39;en tête IP.<br>
(Dans le cas contraire, les connexions telnet ou SSH sont systématique=
ment rejetées par les équipements du réseau).<br>Voici la co=
mmande que j&#39;ajoute dans le fichier &quot;/etc/iptables.up.rules&quot; =
:<br><br>iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 12=
0<br>


<br>Pour autant, les paquets continuent à être rejetés car i=
ls ne sont pas marqués correctement <br><br>Par avance, merci.<br c=
lear="all"><br>-- <br>Philippe Gayot<br>

--0016368340d8c3409a04ae75f229--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAGmaZOtwFL1qt=jZjZhC110GmpKLKTJBkjJL0vyXkLyZbpSrbA@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Bortzmeyer
Le #23823411
On Tue, Oct 04, 2011 at 11:44:54AM +0200,
Philippe Gayot a message of 62 lines which said:

(Dans le cas contraire, les connexions telnet ou SSH sont
systématiquement rejetées par les équipements du réseau).



Très bizarre. Pourquoi avez-vous configuré ces équipements ainsi ?

iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 120



Le terme de TOS est normalement abandonné depuis 1998, au profit de
DSCP... Pour iptables, on devrait utiliser normalement --set-dscp

Pour autant, les paquets continuent à être rejetés car ils ne sont
pas marqués correctement ...



Vous avez vérifié avec tcpdump ou wireshark ? Pour moi, ça marche.

Sans la règle :

21:11:37.334653 IP (tos 0x10, ttl 64, id 58765, offset 0, flags [DF], proto TCP (6), length 60)
192.168.2.1.34376 > 209.85.148.99.22: ...

Avec la règle :

21:10:26.083260 IP (tos 0x78, ttl 64, id 52439, offset 0, flags [DF], proto TCP (6), length 60)
192.168.2.1.39798 > 209.85.148.103.22: ...

Avec 0x78 = 120

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme