Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages : 1
#1 16/06/2009 15:20:18
- grigric
- Membre
configuration de iptables pour postgres
Bonjour,
en mettant en place des règles sur iptables pour protéger mon serveur postgres, il s'avère que les temps d'accès à la base on triplés. Même en ne mettant qu'une règle accept sur les ports de postgres, cela ralenti énormément les transactions sur le serveur.
Auriez vous une idée de config ou de manip pour régler cela ? Ou bien est ce qu'il faut que je laisse tomber mon firewall sur mon serveur postgres ?
sachant que l'uptime du serveur n'est pas impacté par iptables (les valeurs restent au même niveau avec et sans iptables de configuré).
Merci pour vos réponses et bonne journée.
Hors ligne
#2 16/06/2009 15:42:41
- Marc Cousin
- Membre
Re : configuration de iptables pour postgres
Bonjour,
Je n'ai jamais eu de problème de ce genre là à cause d'iptables sur les serveurs.
Ce sont les temps de connexion qui ont ralenti ou les temps d'exécution des requêtes ?
Si c'est le premier point, ça ressemble à une requête faite par PostgreSQL qui serait bloquée par le firewall (on voit ce genre de choses par exemple avec des serveurs FTP ou SSH qui n'arrivent plus à atteindre un DNS pour faire une requête inverse pour tracer le nom des personnes se connectant). Par contre, quel genre de requête ? du DNS inverse, ou bien des requêtes d'authentification probablement (ident, kerberos ...) ?
Bref est ce que ce sont les temps de connexion ou l'exécution des requêtes qui ont ralenti ?
Marc.
Hors ligne
#3 16/06/2009 15:43:10
- gleu
- Administrateur
Re : configuration de iptables pour postgres
C'est très étonnant. Si vous désactivez le firewall, vous regagnez en performances ?
Guillaume.
Hors ligne
#4 17/06/2009 16:24:44
- grigric
- Membre
Re : configuration de iptables pour postgres
Bonjour et merci pour vos réponses,
oui, en retirant le firewall, je retrouve les performances de départ.
après quelques tests, il s'avère que ce sont les temps de connexion qui sont lent et les requètes restent rapide. En mettant les règles du firewall et avec comme police par défaut ACCEPT, cela fonctionne bien.
Ce serait donc un problème de DNS ?
j'autorise bien la sortie vers le port 53 en tcp et udp.
et j'autorise bien le port postgresql par defaut en entrée tcp (5432).
S'il manquai une règle, cela ne devrait ne pas fonctionner et non pas marchauter non ?
Et les règles iptables sont les mêmes sur tous mes serveurs, à un ou deux services spécifiques près et seulement celui ci me pause des soucis...
Me manque t il quelque chose ?
je ne vois pas quoi, une idée ?
Hors ligne
#5 17/06/2009 19:12:48
- Marc Cousin
- Membre
Re : configuration de iptables pour postgres
DNS c'était un exemple.
Le plus efficace, ça serait de passer le serveur postgres au strace, mais si vous n'avez pas l'habitude de l'outil, cela risque d'être lourd.
Le mieux serait de désactiver le firewall et tracer tout ce qui se passe sur le serveur au niveau réseau (avec tcpdump). Normalement, dans les quelques millisecondes autour de l'établissement de la session, le paquet qui était bloqué par le firewall devrait passer.
S'il manque une règle, cela peut très bien marcher lentement, puisque certaines choses sont facultatives (d'où mon exemple sur les DNS inverses, qui permettent juste d'améliorer la qualité des traces dans une log)
Autre solution : remplacer les règles de iptables de -j DROP vers -j LOG (je ne me rappelle plus la syntaxe exacte ) et regarder ce qui arrive dans la syslog.
Marc.
Hors ligne
#6 17/06/2009 20:29:48
- grigric
- Membre
Re : configuration de iptables pour postgres
Merci pour toutes ces infos, je vais essayer tout ça.
Ne travaillez vous pas sur un réseau nommé intraterre ? Votre nom me dit quelque chose, on s'y serait peut etre rencontré sur un forum il y a quelques temps non ?
Allez, bonne soirée et encore merci, je vais regarder de plus près.
Hors ligne
#7 17/06/2009 20:56:59
- Marc Cousin
- Membre
Re : configuration de iptables pour postgres
Négatif
Mais c'est un nom assez commun...
Marc.
Hors ligne
#8 17/06/2009 21:06:58
- grigric
- Membre
Re : configuration de iptables pour postgres
Allez, je me sauve.
Merci pour ces infos, au plaisirdevous revoir.
Hors ligne
Pages : 1