Eu resolvi fazendo assim:
ipfw add divert 8668 all from <rede interna> to any via <interface especificada no natd> ipfw add divert 8668 all from any to me via <interface especificada no natd> On Wed, 2010-10-13 at 09:33 -0300, Renato Frederick wrote: > Precisa fazer o divert "from any to any"? > > O ideal seria 2 regras, uma para out, outra para in e especificando > endereços de origem/destino. > > Outra dúvida, os clientes internos precisam sair com nat pro pgsql? > > talvez reescrever a regra seja interessante, até para economia de > cpu/memória(já que um divert all from any to any empurra pro natd tudo que > passe pelo firewall e venha de ip´s reservados). > > []s > > > > > > -----Mensagem Original----- > From: Antonio Modesto > Sent: Wednesday, October 13, 2010 8:49 AM > To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > Tambem tive um problema parecido, e também eram regras erradas no NATD. > > On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: > > > Opa fazendo testes aqui em casa já descobri o problema da queda de conexão > > que pode resolver tanto o problema do putty quanto do PostgreSQL. O > > problema > > está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como > > stateless a saída e a entrada da comunicação dessa forma fazendo uma regra > > como abaixo resolveu o problema das quedas e quem sabe também poderá > > resolver o problema da performance. :) > > > > ipfw add divert 8668 all from any to any out via re0 keep-state > > > > Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse > > um time-out > > > > Assim que tiver feito os outros testes avisarei aqui. :) > > > > -------------------------------------------------- > > From: "Marcelo Gondim" <[email protected]> > > Sent: Tuesday, October 12, 2010 10:38 PM > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > <[email protected]> > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > > > > Oi Rodrigo, > > > > > > -------------------------------------------------- > > > From: "Rodrigo Mosconi" <[email protected]> > > > Sent: Tuesday, October 12, 2010 2:22 PM > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > <[email protected]> > > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > > > > >> Marcelo, > > >> > > >> Em 12 de outubro de 2010 01:18, Marcelo Gondim > > >> <[email protected]> escreveu: > > >>> Olá pessoal, > > >>> > > >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS > > >>> 5.5 > > >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras > > >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os > > >>> acessos > > >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas > > >>> estranhas > > >>> e > > >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem > > >>> com > > >>> FreeBSD. :) > > >>> > > >>> A configuração básica é essa: > > >>> > > >>> Internet <-----> Firewall FreeBSD <-----> rede do cliente (Aplicação > > >>> em > > >>> Delphi) > > >>> | > > >>> | > > >>> | > > >>> Servidor PostgreSQL > > >>> > > >>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele > > >>> para > > >>> a > > >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não > > >>> estou > > >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o > > >>> CentOS > > >>> e a aplicação voltou ao normal e sua velocidade. > > >>> > > >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação > > >>> conectada > > >>> na base e depois de um tempo sem fazer nada no sistema, quando ele vai > > >>> fazer > > >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como > > >>> se > > >>> a > > >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o > > >>> putty, > > >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar > > >>> um > > >>> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz > > >>> o > > >>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a > > >>> conexão > > >>> ssh caiu no putty. > > >>> > > >>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade > > >>> estaria > > >>> relacionada à algum tunning e se essas quedas na conexão tcp por > > >>> time-out > > >>> tem algum ajuste também? > > >>> > > >>> []´s a todos e agradeço desde já qualquer luz :) > > >> > > >> 1- Há nat entre os clientes e a base PG? É um cenário parecido com o > > >> email anterior da lista? > > >> > > > > > > Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no > > > programa > > > dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat para > > > 192.168.10.2. > > > O nat pode estar causando essa lentidão? > > > > > >> 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é > > >> executado > > >> o link sobe? Um flush do ipfw limpa todos os estados, o que derruba > > >> as conexões. > > > > > > O IP é fixo e o script faz um ipfw -f flush antes de carregar as regras. > > > Até > > > pensei na hora que a conexão com a base havia caído no momento em que > > > rodei > > > o script mas mesmo sem rodar o script a conexão cai. :( será que pode > > > ter > > > à ver com o polling como coloquei num e-mail anterior? Também vou fazer > > > o > > > teste de retirar todo o Firewall e deixar só o NAT para ver se a > > > performance > > > normaliza e as conexões ficam estáveis. > > > > > >> > > >> 3- Já pensou em usar o PF no lugar do IPFW? > > >> > > > > > > Poderia até usar mas achei estranho o que aconteceu e acredito que seja > > > alguma falha na minha configuração e não no ipfw em si. De qualquer > > > forma > > > pretendo estudar o pf como outra alternativa à firewall. :) > > > > > >> Att, > > >> > > >> Rodrigo Mosconi > > >> > > >>> > > > > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Antonio Modesto > > Gerente de TI > > > Praça Getúlio Vargas, 77 – Sala 308 – Centro > > Santo Antônio do Monte – MG – CEP: 35560-000 > (37) 3281-2800 > > [email protected]http://www.isimples.com.br > > > Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter > informações confidenciais e/ou > > privilegiadas. Se você não for o destinatário ou a pessoa autorizada a > receber esta mensagem, por favor, não > > leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada > nessas informações. Notifique o > > remetente imediatamente por e-mail e apague a mensagem permanentemente. > Atenção: embora a Isimples > > Telecom, tome seus cuidados para garantir a ausência de vírus neste > e-mail, a empresa não se responsabiliza > > por quaisquer perdas ou danos decorrentes do uso da mensagem e seus > anexos. A segurança e ausência de > > erros na transmissão do e-mail não podem ser garantidas, já que as > informações podem ser interceptadas, > > corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou, > ainda, conter vírus. Recomendamos > > checar se o e-mail e seus anexos contém vírus, uma vez que nem a > Isimples Telecom ou o remetente se > > responsabilizam pela transmissão destes. > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Antonio Modesto Gerente de TI Praça Getúlio Vargas, 77 – Sala 308 – Centro Santo Antônio do Monte – MG – CEP: 35560-000 (37) 3281-2800 [email protected]http://www.isimples.com.br Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter informações confidenciais e/ou privilegiadas. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, por favor, não leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada nessas informações. Notifique o remetente imediatamente por e-mail e apague a mensagem permanentemente. Atenção: embora a Isimples Telecom, tome seus cuidados para garantir a ausência de vírus neste e-mail, a empresa não se responsabiliza por quaisquer perdas ou danos decorrentes do uso da mensagem e seus anexos. A segurança e ausência de erros na transmissão do e-mail não podem ser garantidas, já que as informações podem ser interceptadas, corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou, ainda, conter vírus. Recomendamos checar se o e-mail e seus anexos contém vírus, uma vez que nem a Isimples Telecom ou o remetente se responsabilizam pela transmissão destes. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
