Ipcop déconnexions intempestives

[pierrobzh]

Bonjour
Je suis technicien informatique dans un collège lycée.
Cet été j'ai mis en place un ipcop 1.4.21 en interface RED GREEN. Tout fonctionne très bien.
Sauf depuis quelque jour, tous les vendredi et aujourd'hui plus particulièrement, j'ai de grosse déconnexions intempestives, qui varient entre 5min à15min. J'ai pourtant bien accès à l'interface http. Je ping bien mes cartes RED GREEN et le modem.
Je ne sais pas du tout où ni quoi regarder.

Le problème se résout tout seul ou alors en redémarrant l'ipcop.

Merci de m'aider.

[ccnet]

Je ping bien mes cartes RED GREEN et le modem.

Si tel est le cas durant les coupures le problème est au delà. A tout hasard, y a t il des erreurs sur les interfaces réseaux ?
D'autres équipements et, ou logiciels (addon sur Ipcop) ?

[pierrobzh]

Bonjour
Non, je ne vois aucune erreur sur les interfaces réseaux dans les journaux

[ccnet]

Je repose ma question : D'autres équipements et, ou logiciels (addon sur Ipcop) ?

La déconnexion se traduit elle uniquement par la perte de la navigation web ? J'ai cru comprendre que le ping donnait toujours une réponse.

Deux hypothèses à ce stade, mais sans autres informations de votre part ce ne sont que pures suppositions : un problème de renouvellement de votre bail dhcp chez l'opérateur ou un problème de ponctuel de dns. Un problème ponctuel de dns à heure fixe me semble curieux (à moins que BOT, des règles avec des plages horaires ... sans autres précisions on peut tout supposer mais rien affirmer.) Mon premier conseil serait que vous décriviez tous les composants de votre connectivité avec précision.

[pierrobzh]

J'ai donc mon réseau avec un serveur 2003 puis ipcop est relié sur ce réseau avec la carte Green
Ca carte RED est relié au netgear qui est notre routeur adsl.
Le seul addon que j'ai installé sur ipcop est urlfilter.

La déconnexion se traduit elle uniquement par la perte de la navigation web ? oui, puisque derrière, je ping tout

Deux hypothèses à ce stade, mais sans autres informations de votre part ce ne sont que pures suppositions : un problème de renouvellement de votre bail dhcp chez l'opérateur
Je pense pas que ça soit sa, puisque quand je redémarre ipcop, internet refonctionne normalement. Est ce que ça ne serait pas mon serveur qui fous la zone ?

[ccnet]

Je pense pas que ça soit sa, puisque quand je redémarre ipcop, internet refonctionne normalement.

Voulez vous bien consulter les logs d'ipcop ?

Est ce que ça ne serait pas mon serveur qui fous la zone ?

Cette supposition est assez peu technique.

Ce que je comprend, à ce stade, c'est qu'il n'y a pas de perte de connectivité. Mais qu'il y a un proxy sur ipcop et qu'il qu'il y a périodiquement un problème de navigation. Regarder les logs de ce proxy serait peut être intéressant sur les périodes où le surf n'est pas possible.

[pierrobzh]

J'ai eu ça dans le résumé de vendredi

Code: Tout sélectionner

8.33 MB transferred in 606 responses  (1xx 0, 2xx 229, 3xx 361, 4xx 13, 5xx 3)
    396 Images (0.25 MB),
    180 Content pages (7.07 MB),
     30 Other (1.01 MB)

Requests with error response codes
    401 Unauthorized
       /cgi-bin/logs.cgi/urlfilter.dat: 1 Time(s)
       /cgi-bin/shutdown.cgi: 3 Time(s)
       /cgi-bin/urlfilter.cgi: 2 Time(s)
       /graphs/cpu-day.png: 1 Time(s)
       /graphs/disk-day.png: 1 Time(s)
       /graphs/memory-day.png: 1 Time(s)
       /graphs/swap-day.png: 1 Time(s)
       /sgraph/tcp-access.png: 1 Time(s)
       /sgraph/tcp-duration.png: 1 Time(s)
       /sgraph/tcp-transfer.png: 1 Time(s)
    500 Internal Server Error
       /cgi-bin/index.cgi: 2 Time(s)
       /cgi-bin/logs.cgi/urlfilter.dat: 1 Time(s)



[pierrobzh]

Ce vendredi rebelote problème de déconnexion internet,

Voici un bout du fichier message:

Code: Tout sélectionner

Feb 18 12:00:14 ipcop kernel: VM: killing process squid-graph
Feb 18 12:00:17 ipcop fcron[777]: Job /usr/local/bin/makegraphs >/dev/null completed
Feb 18 12:02:50 ipcop kernel: NEW not SYN? IN=eth0 OUT= MAC=00:11:09:a9:c5:6d:00:0e:a6:b3:7b:10:08:00 SRC=10.29.107.10 DST=10.29.104.254 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=28520 PROTO=TCP SPT=1663 DPT=80 WINDOW=0 RES=0x00 RST URGP=0
Feb 18 12:05:00 ipcop fcron[878]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl started for user root (pid 879)
Feb 18 12:05:00 ipcop fcron[880]: Job /usr/local/bin/makegraphs >/dev/null started for user root (pid 881)
Feb 18 12:05:00 ipcop fcron[882]: Job /usr/local/bin/timecheck > /dev/null 2>&1 started for user root (pid 884)
Feb 18 12:05:02 ipcop fcron[878]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl completed
Feb 18 12:05:02 ipcop fcron[882]: Job /usr/local/bin/timecheck > /dev/null 2>&1 completed
Feb 18 12:05:18 ipcop kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Feb 18 12:05:18 ipcop kernel: __alloc_pages: 0-order allocation failed (gfp=0xf0/0)
Feb 18 12:05:18 ipcop kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Feb 18 12:05:18 ipcop kernel: VM: killing process index.cgi
Feb 18 12:05:34 ipcop fcron[880]: Job /usr/local/bin/makegraphs >/dev/null completed
Feb 18 12:10:00 ipcop fcron[896]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl started for user root (pid 897)
Feb 18 12:10:00 ipcop fcron[901]: Job /usr/local/bin/timecheck > /dev/null 2>&1 started for user root (pid 903)
Feb 18 12:10:00 ipcop fcron[898]: Job /usr/local/bin/makegraphs >/dev/null started for user root (pid 900)
Feb 18 12:10:02 ipcop fcron[896]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl completed
Feb 18 12:10:02 ipcop fcron[901]: Job /usr/local/bin/timecheck > /dev/null 2>&1 completed
Feb 18 12:10:15 ipcop kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Feb 18 12:10:15 ipcop kernel: VM: killing process squid-graph
Feb 18 12:10:17 ipcop fcron[898]: Job /usr/local/bin/makegraphs >/dev/null completed
Feb 18 12:13:02 ipcop kernel: NEW not SYN? IN=eth0 OUT= MAC=00:11:09:a9:c5:6d:00:24:81:64:a9:d7:08:00 SRC=10.29.104.84 DST=10.29.104.254 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=58256 DF PROTO=TCP SPT=1469 DPT=80 WINDOW=0 RES=0x00 ACK RST URGP=0
Feb 18 12:13:02 ipcop kernel: NEW not SYN? IN=eth0 OUT= MAC=00:11:09:a9:c5:6d:00:24:81:64:a9:d7:08:00 SRC=10.29.104.84 DST=10.29.104.254 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=58259 DF PROTO=TCP SPT=1144 DPT=80 WINDOW=0 RES=0x00 ACK RST URGP=0
Feb 18 12:13:02 ipcop kernel: NEW not SYN? IN=eth0 OUT= MAC=00:11:09:a9:c5:6d:00:24:81:64:a9:d7:08:00 SRC=10.29.104.84 DST=10.29.104.254 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=58262 DF PROTO=TCP SPT=1570 DPT=80 WINDOW=0 RES=0x00 ACK RST URGP=0
Feb 18 12:15:00 ipcop fcron[913]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl started for user root (pid 914)
Feb 18 12:15:00 ipcop fcron[917]: Job /usr/local/bin/timecheck > /dev/null 2>&1 started for user root (pid 919)
Feb 18 12:15:00 ipcop fcron[915]: Job /usr/local/bin/makegraphs >/dev/null started for user root (pid 916)
Feb 18 12:15:02 ipcop fcron[913]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl completed
Feb 18 12:15:02 ipcop fcron[917]: Job /usr/local/bin/timecheck > /dev/null 2>&1 completed
Feb 18 12:15:13 ipcop kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
Feb 18 12:15:13 ipcop kernel: VM: killing process squid-graph
Feb 18 12:15:16 ipcop fcron[915]: Job /usr/local/bin/makegraphs >/dev/null completed
Feb 18 12:20:00 ipcop fcron[937]: Job /usr/sbin/logrotate /etc/logrotate.conf started for user root (pid 938)
Feb 18 12:20:00 ipcop fcron[941]: Job /usr/local/bin/makegraphs >/dev/null started for user root (pid 942)
Feb 18 12:20:00 ipcop fcron[939]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl started for user root (pid 940)
Feb 18 12:20:00 ipcop fcron[944]: Job /usr/local/bin/timecheck > /dev/null 2>&1 started for user root (pid 945)
Feb 18 12:20:02 ipcop fcron[937]: Job /usr/sbin/logrotate /etc/logrotate.conf completed
Feb 18 12:20:02 ipcop fcron[939]: Job [ -f "/var/ipcop/red/active" ] && /usr/local/bin/setddns.pl completed
Feb 18 12:20:02 ipcop fcron[944]: Job /usr/local/bin/timecheck > /dev/null 2>&1 completed

Je comprends pas les killing

[ccnet]

Vos problèmes viennent du proxy. Pouvez vous vérifier sur la page principale d'ipcop (je dis cela de mémoire - sans jeux de mots) où en est la machine de sa consommation mémoire avec le proxy ? Je crains que vous soyez "out of memory".

[mab]

salut,

Est-ce que la machine se bloque ?

Ça pourrait être aussi un problème de mémoire défectueuse.

[ccnet]

Dans tous les cas la mémoire nécessaire au bon fonctionnement du système n'est pas disponible.
De la pertinence du proxy sur le firewall !

[mab]

Dans tous les cas la mémoire nécessaire au bon fonctionnement du système n'est pas disponible.

oui
de combien ipcop dispose de ram ?
que renvoie un

Code: Tout sélectionner

free

et pour l'espace disque, que donne

Code: Tout sélectionner

df

[pierrobzh]

Ok, je regarderais ça demain, la je suis chez moi.
Mais pourquoi cela ferais ça que le vendredi ? Même en redémarrant l'ipcop ?

Y aurait il trop de monde ce jour là pour faire saturer l'ipcop ?

[pierrobzh]

Hello
Voici ce que donne free et df



Plus l'interface graphique par le https:



Merci

[jdh]

Il y a 224 Mo de mémoire, 32 Mo de swap (très utilisé) et un système de 8 Go (et 30 Go pour les log utilisé pour 440 Mo).

J'ignore quelle est la taille du cache de Squid (proxy), mais c'est parfait pour un firewall mais tout à fait insuffisant avec Squid.

Au bout d'un certain temps (disons 1 semaine), la saturation des 2 mémoires est telle que le système est bloqué.


Il est curieux de n'avoir que 32 Mo de swap. Usuellement le swap est taillé à la même valeur que la mémoire.
Mais, un bon système ne consomme pas de swap, car cette mémoire est extrêmement lente puisqu'elle est sur disque.

Quand un Unix/Linux est saturé, il tue des jobs, un peu au hasard (pas tout à fait vrai mais ...).
Le log en témoigne : regardez les lignes "kernel: VM: killing process XXXXX" qui suivent les lignes "kernel: __alloc_pages: 0-order allocation failed".
Il faut bien comprendre que les ressources mémoire nécessaire à Squid, à Squidgraph, à SquidGuard (utilisé par urlfilter) sont ENAURMES.


Soit c'est une barrette de 256 Mo à ajouter soit vous réduisez la taille de cache de Squid et vous supprimez urlfilter.

NB : Sur ce forum, on répète que le premier addons à installer c'est BOT. C'est une OBLIGATION. En plus il ne consomme pas de mémoire !