net.inet.ip.fw.one_pass: 1 lógica de regras, tproxy, pipe cliente, liberação cliente, política fechada, ou seja:
20 - fwd IP_PROXY,3128 tcp from CLIENTE_X/20 to any 80 in via $intif (tproxy) 21 - fwd IP_PROXY tcp from any 80 to CLIENTE_X/20 in via $extif(tproxy [..] [..] 600 - pipe 600 ip from CLIENTE_1 to any out 601 - pipe 601 ip from any to CLIENTE1 [..] [..] 605 - pipe 605 ip from CLIENTE_1 to any out 606 - pipe 606 ip from any to CLIENTE1 [..] [..] 3000 - allow ip from CLIENTE_1 to any 3001 - allow ip from any to CLIENTE1 [..] [..] 3005 - allow ip from CLIENTE_1 to any 3006 - allow ip from any to CLIENTE1 [..] [..] 65500 deny log all from CLIENTE_X/20 to any Como se vê, regra fechada, cliente não explicitadamente declarado não navega. > -----Mensagem original----- > De: [email protected] [mailto:[email protected]] Em > nome de Edinilson - ATINET > Enviada em: segunda-feira, 13 de julho de 2009 15:58 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: Número de regras no ipfw > Prioridade: Alta > > Caro Renato, poderia nos passar a logica de suas regras? Só para termos > ideia do motivo das nossas estarem gerando tanta latencia assim e as > suas > nao. > > Voce utiliza a variavel: > net.inet.ip.fw.one_pass > > Com 0 ou 1? > > Obrigado > > Edinilson > --------------------------------------------------------- > ATINET-Professional Web Hosting > Tel Voz: (0xx11) 4412-0876 > http://www.atinet.com.br > > > ----- Original Message ----- > From: "Renato Frederick" <[email protected]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <[email protected]> > Sent: Wednesday, July 08, 2009 5:06 PM > Subject: [FUG-BR] RES: Número de regras no ipfw > > > Aqui tenho um sisteminha simples em php/mysql que faz as regras, olhei > aqui > e a tabela já tem 2k registros. > > Então, isto dá 4mil regras ipfw(tráfego in/out). > > Não tem nenhum problema de performance. > > Lembrando que não faço keep-state para, em caso de vírus ou ataques, > não > abrir muitas conexões dinâmicas e matar o servidor. > > > > > > -----Mensagem original----- > > De: [email protected] [mailto:[email protected]] Em > > nome de Ari Arantes Filho > > Enviada em: quarta-feira, 8 de julho de 2009 16:42 > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Assunto: Re: [FUG-BR] Número de regras no ipfw > > > > As máquinas que dizem eram máquinas Xeon? > > Consumo de interrupção no top, você diz: > > > > CPU states: 2.2% user, 0.0% nice, 3.2% system, 1.8% interrupt, > > 92.9% > > idle > > > > esse 1,8%? > > > > []s, > > > > Ari > > > > > > 2009/7/8 Joao Rocha Braga Filho <[email protected]> > > > > > 2009/7/8 Edinilson - ATINET <[email protected]>: > > > > Em 1 maquina apenas acredito que voce tera problemas... > > > > Tive uma situacao destas uns meses atras, com uma quantidade > > parecida. > > > > Aumentou demais a latencia dos usuarios. > > > > > > Eu tive problemas com consumo de CPU, que era mostrado como > > > interrupção no top. Estou refazendo o controle para usar alguma > > > forma de hash, e assim passar pelo menor número de regras > possíveis. > > > > > > Mas se é para liberar ou bloquear usuários, não existe nada mais > > > eficiente do que usar tables do ipfw, como eu faço. > > > > > > > > > João Rocha. > > > > > > > > > > > > > > Edinilson > > > > --------------------------------------------------------- > > > > ATINET-Professional Web Hosting > > > > Tel Voz: (0xx11) 4412-0876 > > > > http://www.atinet.com.br > > > > > > > > > > > > ----- Original Message ----- > > > > From: "Ari Arantes Filho" <[email protected]> > > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > > <[email protected]> > > > > Sent: Wednesday, July 08, 2009 8:04 AM > > > > Subject: [FUG-BR] Número de regras no ipfw > > > > > > > > > > > > Pessoal, > > > > Qual o limite e um número aceitável de regras no ipfw? Penso em > > fazer um > > > > sistema para liberar dinamicamente a conexão do usuário, mas > tenho > > > receito > > > > de perder performance. Umas 3000 regras é viável? > > > > > > > > Obrigado, > > > > > > > > Ari > > > > ------------------------- > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > ------------------------- > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > > > > > -- > > > "Sempre se apanha mais com as menores besteiras. Experiência > > própria." > > > > > > [email protected] > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
