Ben olsam şöyle yapardım.
squid 80 için transparent kullanır ve farklı bir instance'da da 443 için
sonlandırma yapardım. Banka gibi özel yerler için de https trafiği
squid'e sokmazdım. Böylece https trafiği de dinlerdim. İmkan varsa self
signed sertifikamı da client'lara eklerdim. Default kullanılabilecek
proxy/vpn portlarını doğrudan engeller ve ufak bir google araştırması
ile de kendime proxy/vpn block list oluştururdum. Hatta dışa giden tüm
UDP isteklerine mani olurdum ki trojan bulaşmış bir zombi benim
networkümden dışarı çıkamasın. Rule'lara rate ve state limitleri
eklerdim. Bununla da kalmaz tüm dns sorgularına kendim cevap verir ve
onu da telekomdan alırdım ki yasaklı sitelere de kimse giremesin. Tabi
hazır squid varken squidguard black listi de aktif ederdim.
Sonra da oturup kulaklarımın çınlamasını dinlerdim.
On 16-04-2014 15:33, Ercan Topalak wrote:
Cevap için tekrar sağol hocam,
Konuyu takip edenler var ise, Pfsense için donanımsal gereksinimler
için buradan <https://www.pfsense.org/hardware/> incelenebilir.
Donanımdan çok ethernet kartları önemli rol oynuyor dediğin gibi.
Pfsense'in kartları 100 Mbit görmesi normalmiş, Citrix Xen üzerinde
paravirtual sanallaştırma kullanılmaz ise, network kartlarını sisteme
100 Mbit olarak bağlıyormuş. Hızın artması için paravirtualised
driverları kullanın diyormuş
<http://www.netservers.co.uk/articles/open-source-howtos/citrix_e1000_gigabit>.
Forumda <https://forum.pfsense.org/index.php?topic=70854.0> biri
pfsense, yukardaki adres ile beraber 1Gbit e çıkarıp bağlantıyı 3 kat
performans elde etmiş. Bakalım deneyeceğim.
Bir de insanları proxy harici, internet çıkmalarını engellemek ve
başka bir proxy sunucu kullanmaları engellemek için söyle bir kural
yazmıştım.
IPv4 TCP/UDP ! 192.168.50.254 * _! nonproxy_ips_
* failoverwan
nonproxy_ips içinde 192.168.50.254 de var.
Ayrıca Layer7 filtreleme ile http, http_cachehit ve http_cachemiss
paketlerini engelliyordum. Bu da bir şekilde squid için çalışmasına
engel olmuş ve darboğaz yapıyor olabilir mi ?
Tabiki https bağlantısı kaçıyor bu ruledan. Bazı programlar sebebiyle
direk olarak 443 i kapatmamıştım. Network için de proxy harici
kullanımları engellemek için en iyi yol direk 80 ve 443 gibi portları
engellemekmidir ?
Gerçi ne kadar port yazarsak yazalım, pfsense harici bir internet
üzerinde proxy yazılırsa bu sefer oradan kaçacaklar. Bu sebepten
Layer7 ile httpcachemiss ve cachehitleri engelledim.
Kolay gelsin
2014-04-16 14:54 GMT+03:00 "M.Atıf CEYLAN" <[email protected]
<mailto:[email protected]>>:
Hocam öncelikle realtek kartlar en önerilmeyen kartardandır.
Ayrıca kartınızın gbit olması yüksek I/O yapabileceği anlamına
gelmez.
O veri iletim kapasitesini gösterir. Şiddetle intel kart öneriyorum.
10/100 olarak görünmesinin farklı nedenleri olabilir. Bağladığınız
uç 100mbit ve interface auto negotiate ise (adsl modemlerin bir
çoğu) sizde 100mbit görürsünüz. (böyle bir durumda 1 gbit force
edemezsiniz) Zaten 100mbit bir interface'de yüksek IO beklemek
yanlış olur. Hele hele %15 oranında işlemciyi meşgul edecek
interrupt olası değil. Aldığınız hata zaten socket yazma okuma
hatası. Fiziksel bir bottleneck veya hata durumunda bunu almanız
olasıdır.
On 16-04-2014 13:35, Ercan Topalak wrote:
Selamlar,
irq32: re0 3420024 53
irq36: re1 479193 7
irq40: re2 2471618 38
vmstat çıktısında ethernetlerde bir sıkıntı gözükmüyor, interrupt
cpularda oluşuyor.
cpu0: timer 25430293 399
cpu3: timer 25430248 399
cpu2: timer 25430244 399
cpu1: timer 25430239 399
Network kartlarım donanımsal olarak,
Broadcom BCM5716 x2 ve Realtek RTL8111/8168B 1 Gbit bağlantıya
sahip kartlar. dmesg çıktısına göre pfsense RealTek 8139C+
10/100BaseTX bu şekilde bağlanmış. Kartlar 1 Gbit iken 100 Mbit
kartların bağlanması garip değil mi ? Sunucu kapatıp network
ayarlarına Citrix Xen üzerinden baktım ilgili bişey göremedim.
Benim anlamadığım neden "TunnelStateData::Connection::
error: FD 350: read/write failure: (32) Broken pipe" böyle hata
verdiği, araştırdığımda disk yazma hatası olabilir diyor,
serverın loadın kaynaklanabileceği yazıyor. Dosyalarda sıkıntı
olsa her bu hatadan sonra squid cache ini sıfırlıyorum yine
hatayı vermeye devam ediyor. Internet bağlantısı sıkıntı yok. Bir
ihtimal ethernet kartlarında sıkıntı olsa desek, o kartlarda
sanal olduğu için haliyle problemi Xen çıkarıyor olabilir.
Citrix Xen ile beraber Pfsense kullananız var mı acaba ?
Cevap için ayrıca teşekkür ederim.
2014-04-16 12:48 GMT+03:00 "M.Atıf CEYLAN" <[email protected]
<mailto:[email protected]>>:
Hocam normalde bu kadar interrupt ile connection hatası almamanız
gerekir. Acaba interface donanımsal olarak bir darboğaz
yaşıyor olabilir
mi? polling aktif etmeyi deneyin diyeceğim ama ters etki
yapar eğer
donanım sorunu varsa. Kullandığınız network kartı marka model
yazabilir
misiniz?
On 16-04-2014 12:37, Ercan Topalak wrote:
> Selamlar,
>
> Citrix Xen 6.0.2 üzerine Custom template ile beraber
PfSense 2.1.2
> kurdum. top çıktısına baktığımda %3-5 arasında interrupt
görüyorum.
>
> vmstat -i
> interrupt total rate
> irq1: atkbd0 58 0
> irq14: ata0 267145 4
> irq15: ata1 214 0
> irq23: uhci0 20 0
> irq32: re0 3420024 53
> irq36: re1 479193 7
> irq40: re2 2471618 38
> cpu0: timer 25430293 399
> cpu3: timer 25430248 399
> cpu2: timer 25430244 399
> cpu1: timer 25430239 399
> Total 108359296 1704
>
> Gün içinde birkaç kez sunucu loadı yükselmeye ve interrupt
%15 lere
> çıkabiliyor ve squild hata vermeye başlıyor.
>
> TunnelStateData::Connection::error: FD 350: read/write
failure: (32)
> Broken pipe
>
> Bu sıkıntıların sebebi sanal sunucu kullanmamdan kaynaklanıyor
> olabilir mi ? ESX ile denemedim. Sizde sanal sunucu ile pfsense
> kulllanmak mantıklı mıdır ? Yoksa illa makinemı vermemiz
gerekiyor ?
> ESXi ile stabil kullanan var ise, Xen i kaldırıp ESX e
dönüştüreceğim...
>
>
>
--
M.Atıf CEYLAN
Yurdum Yazılım
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
<mailto:[email protected]>
Liste kurallarını http://liste.linux.org.tr/kurallar.php
bağlantısından okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu
listeden gelen e-postaları almak istemiyorsanız aşağıdaki
bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi
sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected] <mailto:[email protected]>
Liste kurallarınıhttp://liste.linux.org.tr/kurallar.php bağlantısından
okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
--
M.Atıf CEYLAN
Yurdum Yazılım
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
