SSH & QoS

1 réponse
Avatar
Philippe Gayot
--0016368340d8c3409a04ae75f229
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

Dans le cadre de la mise en place d'un serveur de rebond (sous Debian
Squeeze) dans le but d'=C3=A9tablir des connexsions SSH vers diff=C3=A9rent=
es machines
virtuelles, il est n=C3=A9cessaire de faire de la QoS et donc de modifier g=
r=C3=A2ce =C3=A0
iptables la valeur du champ TOS se situant dans l'en t=C3=AAte IP.
(Dans le cas contraire, les connexions telnet ou SSH sont syst=C3=A9matique=
ment
rejet=C3=A9es par les =C3=A9quipements du r=C3=A9seau).
Voici la commande que j'ajoute dans le fichier "/etc/iptables.up.rules" :

iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 120

Pour autant, les paquets continuent =C3=A0 =C3=AAtre rejet=C3=A9s car ils n=
e sont pas
marqu=C3=A9s correctement ...

Par avance, merci.

--=20
Philippe Gayot

--0016368340d8c3409a04ae75f229
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>Dans le cadre de la mise en place d&#39;un serveur de rebon=
d
(sous Debian Squeeze) dans le but d&#39;=C3=A9tablir des connexsions SSH v=
ers=20
diff=C3=A9rentes machines virtuelles, il est n=C3=A9cessaire de faire de la=
QoS et
donc de modifier gr=C3=A2ce =C3=A0 iptables la valeur du champ TOS se situ=
ant=20
dans l&#39;en t=C3=AAte IP.<br>
(Dans le cas contraire, les connexions telnet ou SSH sont syst=C3=A9matique=
ment rejet=C3=A9es par les =C3=A9quipements du r=C3=A9seau).<br>Voici la co=
mmande que j&#39;ajoute dans le fichier &quot;/etc/iptables.up.rules&quot; =
:<br><br>iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 12=
0<br>


<br>Pour autant, les paquets continuent =C3=A0 =C3=AAtre rejet=C3=A9s car i=
ls ne sont pas marqu=C3=A9s correctement ...<br><br>Par avance, merci.<br c=
lear=3D"all"><br>-- <br>Philippe Gayot<br>

--0016368340d8c3409a04ae75f229--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAGmaZOtwFL1qt=jZjZhC110GmpKLKTJBkjJL0vyXkLyZbpSrbA@mail.gmail.com

1 réponse

Avatar
Stephane Bortzmeyer
On Tue, Oct 04, 2011 at 11:44:54AM +0200,
Philippe Gayot wrote
a message of 62 lines which said:

(Dans le cas contraire, les connexions telnet ou SSH sont
systématiquement rejetées par les équipements du réseau).



Très bizarre. Pourquoi avez-vous configuré ces équipements ainsi ?

iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 120



Le terme de TOS est normalement abandonné depuis 1998, au profit de
DSCP... Pour iptables, on devrait utiliser normalement --set-dscp

Pour autant, les paquets continuent à être rejetés car ils ne sont
pas marqués correctement ...



Vous avez vérifié avec tcpdump ou wireshark ? Pour moi, ça marche.

Sans la règle :

21:11:37.334653 IP (tos 0x10, ttl 64, id 58765, offset 0, flags [DF], proto TCP (6), length 60)
192.168.2.1.34376 > 209.85.148.99.22: ...

Avec la règle :

21:10:26.083260 IP (tos 0x78, ttl 64, id 52439, offset 0, flags [DF], proto TCP (6), length 60)
192.168.2.1.39798 > 209.85.148.103.22: ...

Avec 0x78 = 120

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/