Iptable -L -v très lent

Bonjour,

Je dispose d’un serveur Debian Lenny.

Jusqu’à présent, l’exécution de la commande suivante était instantanée:

J’ai installé le serveur d’impression Cups (Procédure suivie ici: coagul.org/spip.php?article459 ).
Le serveur web marche parfaitement bien, mais depuis l’ exécution de la même commande est extrêmement longue.

Alors j’ai essayé la commande suivante:

Le paramètre “n” (pas de résolution DNS, affichage des adresses en numérique) et là c’est instantané…
On pourrait donc penser qu’il s’agit d’un problème DNS mais le problème c’est que toutes les adresses IP définies dans mes règles IPTABLES sont des adresses réseaux de la forme 192.168.2.0/24 …

Je ne sais pas si cela a un rapport mais depuis l’installation de Cups, mon serveur émets régulièrement des requêtes sur l’adresse ip 224.0.0.251 (une adresse multicast) sur le post UDP 5353.

Savez-vous d’où peux venir le problème ?
Merci d’avance

Ces requêtes sont-elles autorisées ou bien bloquées via iptables ?

Avant ces requêtes étaient refusées car la politique par défaut était en “DROP”. C’est d’ailleurs comme ça que j’ai découvert ces requêtes en analysant les logs des paquets rejetés.

J’ai donc autorisé ces requêtes dans iptables, mais cela ne résout pas le problème.
Quand j’exécute le “iptables -L -v”, aucun paquet rejeté n’est logué…

D’abord, je trouve que la résolution d’adresses en noms avec iptables -L est une absurdité. Ceci dit, si ce sont des adresses de préfixes, pour éviter les résolutions DNS tu peux définir leurs noms dans /etc/networks qui est aux adresses de réseau ce que /etc/hosts est aux adresses d’hôtes.

Adresse multicast et port UDP 5353, c’est du multicast DNS (mDNS) utilisé notamment par l’infâme clique avahi/zeroconf. Le paquet cups de lenny dépend de libavahi-compat-libdnssd1 qui suggère libnss-mdns, que je soupçonne d’être à l’origine du problème de ralentissement. Si ce paquet est installé tu peux essayer de le supprimer ou de le désactiver.

Autoriser les requêtes mDNS en sortie ne serait pas suffisant : il faudrait aussi autoriser les réponses en entrée (et le suivi de connexion de netfilter ne marche pas avec le multicast, donc la règle usuelle acceptant les paquets dans l’état ESTABLISHED est sans effet)… à condition qu’il y ait une réponse. Sinon, il faut attendre le time-out de toute façon.

Si tu as aussi installé le client Samba, ça pourrait aussi venir de la résolution par winbind (résolution Netbios).

Bonjour,

Pour les adresses réseaux, pas besoin de résolution des noms des réseaux car dans les règles iptables, les adresses réseaux sont déjà écrites de la forme numérique (192.168…)

En revanche, j’ai désactivé le paquet libnss-mdns, qui a résolut mon problème :slightly_smiling:

Merci beaucoup pour votre aide.
Bonne soirée