porque vc nao usa o pf pra fazer nat ao inveis de usa natd. Em 13 de outubro de 2010 09:33, Renato Frederick <[email protected]> escreveu: > Precisa fazer o divert "from any to any"? > > O ideal seria 2 regras, uma para out, outra para in e especificando > endereços de origem/destino. > > Outra dúvida, os clientes internos precisam sair com nat pro pgsql? > > talvez reescrever a regra seja interessante, até para economia de > cpu/memória(já que um divert all from any to any empurra pro natd tudo que > passe pelo firewall e venha de ip´s reservados). > > []s > > > > > > -----Mensagem Original----- > From: Antonio Modesto > Sent: Wednesday, October 13, 2010 8:49 AM > To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > Tambem tive um problema parecido, e também eram regras erradas no NATD. > > On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: > >> Opa fazendo testes aqui em casa já descobri o problema da queda de conexão >> que pode resolver tanto o problema do putty quanto do PostgreSQL. O >> problema >> está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como >> stateless a saída e a entrada da comunicação dessa forma fazendo uma regra >> como abaixo resolveu o problema das quedas e quem sabe também poderá >> resolver o problema da performance. :) >> >> ipfw add divert 8668 all from any to any out via re0 keep-state >> >> Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse >> um time-out >> >> Assim que tiver feito os outros testes avisarei aqui. :) >> >> -------------------------------------------------- >> From: "Marcelo Gondim" <[email protected]> >> Sent: Tuesday, October 12, 2010 10:38 PM >> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >> <[email protected]> >> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão >> >> > Oi Rodrigo, >> > >> > -------------------------------------------------- >> > From: "Rodrigo Mosconi" <[email protected]> >> > Sent: Tuesday, October 12, 2010 2:22 PM >> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >> > <[email protected]> >> > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão >> > >> >> Marcelo, >> >> >> >> Em 12 de outubro de 2010 01:18, Marcelo Gondim >> >> <[email protected]> escreveu: >> >>> Olá pessoal, >> >>> >> >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS >> >>> 5.5 >> >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras >> >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os >> >>> acessos >> >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas >> >>> estranhas >> >>> e >> >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem >> >>> com >> >>> FreeBSD. :) >> >>> >> >>> A configuração básica é essa: >> >>> >> >>> Internet <-----> Firewall FreeBSD <-----> rede do cliente (Aplicação >> >>> em >> >>> Delphi) >> >>> | >> >>> | >> >>> | >> >>> Servidor PostgreSQL >> >>> >> >>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele >> >>> para >> >>> a >> >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não >> >>> estou >> >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o >> >>> CentOS >> >>> e a aplicação voltou ao normal e sua velocidade. >> >>> >> >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação >> >>> conectada >> >>> na base e depois de um tempo sem fazer nada no sistema, quando ele vai >> >>> fazer >> >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como >> >>> se >> >>> a >> >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o >> >>> putty, >> >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar >> >>> um >> >>> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz >> >>> o >> >>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a >> >>> conexão >> >>> ssh caiu no putty. >> >>> >> >>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade >> >>> estaria >> >>> relacionada à algum tunning e se essas quedas na conexão tcp por >> >>> time-out >> >>> tem algum ajuste também? >> >>> >> >>> []´s a todos e agradeço desde já qualquer luz :) >> >> >> >> 1- Há nat entre os clientes e a base PG? É um cenário parecido com o >> >> email anterior da lista? >> >> >> > >> > Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no >> > programa >> > dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat para >> > 192.168.10.2. >> > O nat pode estar causando essa lentidão? >> > >> >> 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é >> >> executado >> >> o link sobe? Um flush do ipfw limpa todos os estados, o que derruba >> >> as conexões. >> > >> > O IP é fixo e o script faz um ipfw -f flush antes de carregar as regras. >> > Até >> > pensei na hora que a conexão com a base havia caído no momento em que >> > rodei >> > o script mas mesmo sem rodar o script a conexão cai. :( será que pode >> > ter >> > à ver com o polling como coloquei num e-mail anterior? Também vou fazer >> > o >> > teste de retirar todo o Firewall e deixar só o NAT para ver se a >> > performance >> > normaliza e as conexões ficam estáveis. >> > >> >> >> >> 3- Já pensou em usar o PF no lugar do IPFW? >> >> >> > >> > Poderia até usar mas achei estranho o que aconteceu e acredito que seja >> > alguma falha na minha configuração e não no ipfw em si. De qualquer >> > forma >> > pretendo estudar o pf como outra alternativa à firewall. :) >> > >> >> Att, >> >> >> >> Rodrigo Mosconi >> >> >> >>> >> > >> > >> > ------------------------- >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Antonio Modesto > > Gerente de TI > > > Praça Getúlio Vargas, 77 – Sala 308 – Centro > > Santo Antônio do Monte – MG – CEP: 35560-000 > (37) 3281-2800 > > [email protected]http://www.isimples.com.br > > > Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter > informações confidenciais e/ou > > privilegiadas. Se você não for o destinatário ou a pessoa autorizada a > receber esta mensagem, por favor, não > > leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada > nessas informações. Notifique o > > remetente imediatamente por e-mail e apague a mensagem permanentemente. > Atenção: embora a Isimples > > Telecom, tome seus cuidados para garantir a ausência de vírus neste > e-mail, a empresa não se responsabiliza > > por quaisquer perdas ou danos decorrentes do uso da mensagem e seus > anexos. A segurança e ausência de > > erros na transmissão do e-mail não podem ser garantidas, já que as > informações podem ser interceptadas, > > corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou, > ainda, conter vírus. Recomendamos > > checar se o e-mail e seus anexos contém vírus, uma vez que nem a > Isimples Telecom ou o remetente se > > responsabilizam pela transmissão destes. > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >
-- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by .... (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
