OVH : many flows between 2 IPs

14 réponses

Auteur	Message
Rano \| Modérateur Inscrit le : 13/04/2005	# Le 04/11/2012 à 22:34 Salut, OVH vient de me cut un serveur pour la raison suivante : "many flows between 2 IPs" many flows between 2 IPs 21:44:25.102530 IP a.a.a.a.57003 > b.b.b.b.b.514: SYSLOG local1.info, length: 180 21:44:25.120945 IP a.a.a.a.57003 > b.b.b.b.b.514: SYSLOG local1.info, length: 179 21:44:25.120955 IP a.a.a.a.57003 > b.b.b.b.b.514: SYSLOG local1.info, length: 179 ... Sauf que a.a.a.a et b.b.b.b sont deux de mes serveurs... sur le meme compte ovh en plus. Il y a beaucoup d'échange (memcache, etc...) entre les deux mais pas plus que d'habitude. Ils vous ont déjà fait le coup ? J'ai pu réactivé le serveur, mais ils considèrent que c'est une machine hackée... Chambres d'hote tavel Séjours en provence Forum mariage
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 04/11/2012 à 22:43 là en l'occurence, l'extrait concernait un syslog-ng distant. Chambres d'hote tavel Séjours en provence Forum mariage
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 05/11/2012 à 09:11 Hello, c'est malheureusement quelque chose qui m'arrive assez souvent : quand il y a trop d'ouvertures de socket entre deux IP, OVH coupe. La seule solution 100% fiable pour les gros clients, c'est le passage dans le vrack. L'autre solution consiste à utiliser au maximum les connexions persistantes. Mais le syslog déporté, c'est pas de l'UDP ? daevel : infogérance et conseil \|\| moi
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 05/11/2012 à 09:15 Si c'est de l'udp Je vais le bricoler un truc de remplacement s'il faut Chambres d'hote tavel Séjours en provence Forum mariage
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 05/11/2012 à 09:16 Arrête, tu me fais flipper là. Je balance entre 100 et 500 Mb/s d'UDP entre deux bécanes pour du memcache. J'espère que ça va pas être bloqué car si ça arrive, toute l'infra de mon client sera par terre... FirstHeberg.com
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 05/11/2012 à 10:05 Memcache tu peux toujours le passer en TCP persistant si nécessaire. daevel : infogérance et conseil \|\| moi
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 05/11/2012 à 12:47 Peut être 4 ou 5 Mbps... Chambres d'hote tavel Séjours en provence Forum mariage
MathieuC \| Mathieu Modérateur Inscrit le : 15/07/2005	# Le 05/11/2012 à 13:52 dob a dit : des fois on fait... beaucoup Ha ouais, tant que ca ??? Non, mais sinon, pour éviter ca il suffit de passer à des solutions plus "modernes", vrack ou pCC. Pour info, c'était sur des serveurs des gammes plutots récentes ou anciennes ? Car j'ai aussi l'impression que sur les anciennes gammes (et donc anciennes installations), ils n'ont pas tous les moyens de controle et donc sont un peu moins regardants (mais tu as pas le reseau lossLess).
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 05/11/2012 à 14:29 C'était un serveur 2010. Etant donné que dans l'alerte il y a marqué que si ça se reproduit ils le coupent définitivement, j'ai de toute facon commandé un autre serveur pour le remplacer ! Chambres d'hote tavel Séjours en provence Forum mariage
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 05/11/2012 à 17:21 Certains filtres «anti-hack» sont aussi désactivés quand on personnalise le reverse-dns de la machine (logique OVH : usage PRO = DNS personnalisé = on emmerde moins). daevel : infogérance et conseil \|\| moi
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 05/11/2012 à 19:07 Hello, petite astuce aussi (autre que les DNS et le vrack), utiliser les ip failover. OVH cut l'ip failover et pas la machine complète, c'est déjà ça Thomas
Salemioche \| Nicolas Membre Inscrit le : 26/12/2008	# Le 06/11/2012 à 14:03 Oui, pareil pour les sites, ne rien mettre sur l'ip par défaut. meme en cas de faille a la con (Phpmyadmin ... ) OVH coupe l'IP principale, mais les sites restent up
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 07/11/2012 à 12:54 Je viens de configurer syslog-ng en TCP avec keep-alive. Tu penses que ça peut mieux passer comme ça Bool ? Chambres d'hote tavel Séjours en provence Forum mariage
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 07/11/2012 à 14:04 Bah au niveau OVH, ça va aider oui : de ce que j'ai compris ils ont des limitations en paquet par seconde sur l'UDP, et des limitations en ouverture de socket sur le TCP. Du coup avec un socket TCP permanent, t'es en dessous des radars. Mais ça veut dire que ton syslog passe en mode bloquant, non ? Si ton serveur de log central plante, quel est le comportement du reste du réseau ? daevel : infogérance et conseil \|\| moi
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 07/11/2012 à 14:08 Ah ça... J'en ai aucune idée Pour l'instant ça tourne convenablement. Je te dirai ça quand il y aura une panne ! Chambres d'hote tavel Séjours en provence Forum mariage

Auteur

Message

Rano |
Modérateur

Inscrit le : 13/04/2005

# Le 04/11/2012 à 22:34

Salut,

OVH vient de me cut un serveur pour la raison suivante : "many flows between 2 IPs"



many flows between 2 IPs



21:44:25.102530 IP a.a.a.a.57003 > b.b.b.b.b.514: SYSLOG local1.info, length: 180

21:44:25.120945 IP a.a.a.a.57003 > b.b.b.b.b.514: SYSLOG local1.info, length: 179

21:44:25.120955 IP a.a.a.a.57003 > b.b.b.b.b.514: SYSLOG local1.info, length: 179

...

Sauf que a.a.a.a et b.b.b.b sont deux de mes serveurs... sur le meme compte ovh en plus. Il y a beaucoup d'échange (memcache, etc...) entre les deux mais pas plus que d'habitude.

Ils vous ont déjà fait le coup ?
J'ai pu réactivé le serveur, mais ils considèrent que c'est une machine hackée...

Chambres d'hote tavel
Séjours en provence
Forum mariage

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 04/11/2012 à 22:43

là en l'occurence, l'extrait concernait un syslog-ng distant.

Chambres d'hote tavel
Séjours en provence
Forum mariage

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 05/11/2012 à 09:11

Hello,

c'est malheureusement quelque chose qui m'arrive assez souvent : quand il y a trop d'ouvertures de socket entre deux IP, OVH coupe. La seule solution 100% fiable pour les gros clients, c'est le passage dans le vrack.
L'autre solution consiste à utiliser au maximum les connexions persistantes.

Mais le syslog déporté, c'est pas de l'UDP ?

daevel : infogérance et conseil || moi

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 05/11/2012 à 09:15

Si c'est de l'udp
Je vais le bricoler un truc de remplacement s'il faut

Chambres d'hote tavel
Séjours en provence
Forum mariage

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 05/11/2012 à 09:16

Arrête, tu me fais flipper là. Je balance entre 100 et 500 Mb/s d'UDP entre deux bécanes pour du memcache. J'espère que ça va pas être bloqué car si ça arrive, toute l'infra de mon client sera par terre...

FirstHeberg.com

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 05/11/2012 à 10:05

Memcache tu peux toujours le passer en TCP persistant si nécessaire.

daevel : infogérance et conseil || moi

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 05/11/2012 à 12:47

Peut être 4 ou 5 Mbps...

Chambres d'hote tavel
Séjours en provence
Forum mariage

MathieuC | Mathieu
Modérateur

Inscrit le : 15/07/2005

# Le 05/11/2012 à 13:52

dob a dit :
des fois on fait... beaucoup

Ha ouais, tant que ca ???

Non, mais sinon, pour éviter ca il suffit de passer à des solutions plus "modernes", vrack ou pCC.

Pour info, c'était sur des serveurs des gammes plutots récentes ou anciennes ? Car j'ai aussi l'impression que sur les anciennes gammes (et donc anciennes installations), ils n'ont pas tous les moyens de controle et donc sont un peu moins regardants (mais tu as pas le reseau lossLess).

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 05/11/2012 à 14:29

C'était un serveur 2010. Etant donné que dans l'alerte il y a marqué que si ça se reproduit ils le coupent définitivement, j'ai de toute facon commandé un autre serveur pour le remplacer !

Chambres d'hote tavel
Séjours en provence
Forum mariage

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 05/11/2012 à 17:21

Certains filtres «anti-hack» sont aussi désactivés quand on personnalise le reverse-dns de la machine (logique OVH : usage PRO = DNS personnalisé = on emmerde moins).

daevel : infogérance et conseil || moi

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 05/11/2012 à 19:07

Hello,

petite astuce aussi (autre que les DNS et le vrack), utiliser les ip failover. OVH cut l'ip failover et pas la machine complète, c'est déjà ça

Thomas

Salemioche | Nicolas
Membre

Inscrit le : 26/12/2008

# Le 06/11/2012 à 14:03

Oui, pareil pour les sites, ne rien mettre sur l'ip par défaut. meme en cas de faille a la con (Phpmyadmin ... ) OVH coupe l'IP principale, mais les sites restent up

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 07/11/2012 à 12:54

Je viens de configurer syslog-ng en TCP avec keep-alive. Tu penses que ça peut mieux passer comme ça Bool ?

Chambres d'hote tavel
Séjours en provence
Forum mariage

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 07/11/2012 à 14:04

Bah au niveau OVH, ça va aider oui : de ce que j'ai compris ils ont des limitations en paquet par seconde sur l'UDP, et des limitations en ouverture de socket sur le TCP. Du coup avec un socket TCP permanent, t'es en dessous des radars.

Mais ça veut dire que ton syslog passe en mode bloquant, non ? Si ton serveur de log central plante, quel est le comportement du reste du réseau ?

daevel : infogérance et conseil || moi

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 07/11/2012 à 14:08

Ah ça... J'en ai aucune idée
Pour l'instant ça tourne convenablement.
Je te dirai ça quand il y aura une panne !

Chambres d'hote tavel
Séjours en provence
Forum mariage

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.