[FUG-BR] Baixa performance FreeBSD domU com XENHVM
Bom dia, Montei um ambiente da seguinte maneira: NetBSD Xen dom0 com uma domU FreeBSD 9.1 amd64, logo que fiz a instalação padrão, com kernel generic dei um portsnap fetch time portsnap extract o seguinte retorno: HVM 30.106u 30.390s 9:00.48 11.1% 70+1167k 16743+2455io 1pf+0w Depois baixe o src e dei um make buildkernel com KERNCONF=XENHVM no /etc/make.conf fui fazer o mesmo time portsnap extract e vejam o retorno, o dobro do tempo, XENHVM 28.984u 30.833s 18:09.59 5.4% 77+1294k 24448+1524io 13pf+0w Não fiz nenhuma alteração no hardware da domU, como aumento ou redução de memória, nada mesmo. Confesso que não fiz nenhum monitoramento no dom0. Sim tem outra domU rodando, um Windows, que quando estava com HVM eu estava mexendo nele, agora com XENHVM está desligado. O que pode ser esta performance tão ruim do XENHVM? Já tive experiências ruins com FreeBSD, XENHVM e PF. -- www.bsdjf.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Baixa performance FreeBSD domU com XENHVM
Em 4 de março de 2013 11:31, Tiago Ribeiro De Oliveira sha...@gmail.comescreveu: Bom dia, Montei um ambiente da seguinte maneira: NetBSD Xen dom0 com uma domU FreeBSD 9.1 amd64, logo que fiz a instalação padrão, com kernel generic dei um portsnap fetch time portsnap extract o seguinte retorno: HVM 30.106u 30.390s 9:00.48 11.1% 70+1167k 16743+2455io 1pf+0w Depois baixe o src e dei um make buildkernel com KERNCONF=XENHVM no /etc/make.conf fui fazer o mesmo time portsnap extract e vejam o retorno, o dobro do tempo, XENHVM 28.984u 30.833s 18:09.59 5.4% 77+1294k 24448+1524io 13pf+0w Não fiz nenhuma alteração no hardware da domU, como aumento ou redução de memória, nada mesmo. Confesso que não fiz nenhum monitoramento no dom0. Sim tem outra domU rodando, um Windows, que quando estava com HVM eu estava mexendo nele, agora com XENHVM está desligado. O que pode ser esta performance tão ruim do XENHVM? Já tive experiências ruins com FreeBSD, XENHVM e PF. -- Rapaz mexi com Xen no NetBSD a mais de 4 anos, na época o meu problema de performace foi devido a discos e diminuir o HZ do sistema para 100 ( padrão para qualquer hipervisor ) mais algumas coisas que não me recordo, contudo era basicamente a controladora de disco. Att. -- :=)(=: Linux é igual brasileiro, pode não ser a melhor solução mais para tudo tem um jeito. Windows é igual americano, não gosta de velharia e toda mudança muda a cara mais não os hábitos. Solaris é igual europeu, pinta as paredes para dizer que a casa é nova mais a fundação é do seculo passado. UNIX/BSD é igual russo, mudanças só se julgar necessário, e quando muda ninguém nota. Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Baixa performance FreeBSD domU com XENHVM
On 03/04/2013 11:31 AM, Tiago Ribeiro De Oliveira wrote: Bom dia, Montei um ambiente da seguinte maneira: NetBSD Xen dom0 com uma domU FreeBSD 9.1 amd64, logo que fiz a instalação padrão, com kernel generic dei um portsnap fetch time portsnap extract o seguinte retorno: HVM 30.106u 30.390s 9:00.48 11.1% 70+1167k 16743+2455io 1pf+0w Depois baixe o src e dei um make buildkernel com KERNCONF=XENHVM no /etc/make.conf fui fazer o mesmo time portsnap extract e vejam o retorno, o dobro do tempo, XENHVM 28.984u 30.833s 18:09.59 5.4% 77+1294k 24448+1524io 13pf+0w Não fiz nenhuma alteração no hardware da domU, como aumento ou redução de memória, nada mesmo. Confesso que não fiz nenhum monitoramento no dom0. Sim tem outra domU rodando, um Windows, que quando estava com HVM eu estava mexendo nele, agora com XENHVM está desligado. O que pode ser esta performance tão ruim do XENHVM? Já tive experiências ruins com FreeBSD, XENHVM e PF. -- www.bsdjf.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Olá Tiago, também tive problemas com FreeBSD domU + XENHVM + PF, no meu caso a rede ficava muito lenta. Resolvi ajustando os seguintes tópicos. - checksum offloading - segmentation offloading - receive offloading - PF (scrub max-mss) Att -- Vagner de Souza Santos Linux Certification LPIC I - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Baixa performance FreeBSD domU com XENHVM
Em 4 de março de 2013 12:25, Vagner de Souza Santos vaguin...@yahoo.com.brescreveu: On 03/04/2013 11:31 AM, Tiago Ribeiro De Oliveira wrote: Bom dia, Montei um ambiente da seguinte maneira: NetBSD Xen dom0 com uma domU FreeBSD 9.1 amd64, logo que fiz a instalação padrão, com kernel generic dei um portsnap fetch time portsnap extract o seguinte retorno: HVM 30.106u 30.390s 9:00.48 11.1% 70+1167k 16743+2455io 1pf+0w Depois baixe o src e dei um make buildkernel com KERNCONF=XENHVM no /etc/make.conf fui fazer o mesmo time portsnap extract e vejam o retorno, o dobro do tempo, XENHVM 28.984u 30.833s 18:09.59 5.4% 77+1294k 24448+1524io 13pf+0w Não fiz nenhuma alteração no hardware da domU, como aumento ou redução de memória, nada mesmo. Confesso que não fiz nenhum monitoramento no dom0. Sim tem outra domU rodando, um Windows, que quando estava com HVM eu estava mexendo nele, agora com XENHVM está desligado. O que pode ser esta performance tão ruim do XENHVM? Já tive experiências ruins com FreeBSD, XENHVM e PF. -- www.bsdjf.com.br Olá Tiago, também tive problemas com FreeBSD domU + XENHVM + PF, no meu caso a rede ficava muito lenta. Resolvi ajustando os seguintes tópicos. - checksum offloading - segmentation offloading - receive offloading - PF (scrub max-mss Legal Vagner, vou dar uma olhada no que você passou sobre o PF, a meia sola que fiz foi manter HVM mesmo. Quanto portsnap extract estou testando agora um 8.3 pra ver o que vai dar, posto mais tarde. -- http://w http://shastybsd.blogspot.comww.bsdjf.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Baixa performance FreeBSD domU com XENHVM
Em 4 de março de 2013 14:08, Tiago Ribeiro sha...@gmail.com escreveu: Em 4 de março de 2013 12:25, Vagner de Souza Santos vaguin...@yahoo.com.br escreveu: On 03/04/2013 11:31 AM, Tiago Ribeiro De Oliveira wrote: Bom dia, Montei um ambiente da seguinte maneira: NetBSD Xen dom0 com uma domU FreeBSD 9.1 amd64, logo que fiz a instalação padrão, com kernel generic dei um portsnap fetch time portsnap extract o seguinte retorno: HVM 30.106u 30.390s 9:00.48 11.1% 70+1167k 16743+2455io 1pf+0w Depois baixe o src e dei um make buildkernel com KERNCONF=XENHVM no /etc/make.conf fui fazer o mesmo time portsnap extract e vejam o retorno, o dobro do tempo, XENHVM 28.984u 30.833s 18:09.59 5.4% 77+1294k 24448+1524io 13pf+0w Não fiz nenhuma alteração no hardware da domU, como aumento ou redução de memória, nada mesmo. Confesso que não fiz nenhum monitoramento no dom0. Sim tem outra domU rodando, um Windows, que quando estava com HVM eu estava mexendo nele, agora com XENHVM está desligado. O que pode ser esta performance tão ruim do XENHVM? Já tive experiências ruins com FreeBSD, XENHVM e PF. Passando a nova informação, agora com FreeBSD 8.3 i386 XENHVM, o mesmo portsnap extract: 28.264u 33.601s 3:59.77 25.7%65+563k 11388+3570io 1pf+0w -- http://w http://shastybsd.blogspot.comww.bsdjf.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 03/03/13 14:20, vic escreveu: Certo, mas você deveria usar o RPF para a sua rede. Se você tem um bloco 200.0.0.0/20, seu roteador não deveria deixar sair da sua rede um IP 201.50.54.10. É isso. Nas interfaces externas do seu roteador de borda chegam qualquer rede, mas na saída só deveriam ser permitidos apenas os endereços IP do seu block AS ou de trânsitos que você tem. att. Com Certeza Vic, aí é um match do openbgpd.conf para fazer o deny! A curiosidade minha foi da sysctl mesmo! Obrigado a todos pelas informações, abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Porta 25 ja esta sendo bloqueada, agora tem que usar 587
Fica a dica para quem nao conseguir mais usar seu smtp na porta 25, tem que passar para a 587, eu uso a NET e a mesma ja bloqueou a 25, mas a 587 vai. Agora li que isso é para evitar spammers... eu nao entendi, esse pessoal nao vai conseguir continuar fazendo spam na porta 587 como o faz na 25 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Porta 25 ja esta sendo bloqueada, agora tem que usar 587
Em 2013-03-04 16:53, Leonardo Augusto escreveu: Fica a dica para quem nao conseguir mais usar seu smtp na porta 25, tem que passar para a 587, eu uso a NET e a mesma ja bloqueou a 25, mas a 587 vai. Agora li que isso é para evitar spammers... eu nao entendi, esse pessoal nao vai conseguir continuar fazendo spam na porta 587 como o faz na 25 Não é para evitar spam, mas para diminuir a quantidade. Com os provedores de internet adotando essa regra, a vida dos spammers fica um pouco mais complicada. Só isso. -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Porta 25 ja esta sendo bloqueada, agora tem que usar 587
Buenas! -Original Message- From: vic Não é para evitar spam, mas para diminuir a quantidade. Com os provedores de internet adotando essa regra, a vida dos spammers fica um pouco mais complicada. Só isso. Exatamente. Pra entender mais e melhor este processo, acesse: http://www.antispam.br/admin/porta25/ Abraços! Jack http://www.jack.eti.br http://www.conexti.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [Off-topic] Oportunidade de Trabalho - Sysadmin
Pessoal, Atualmente estamos com 2 vagas para perfil de sysadmin. A empresa tem um ótimo ambiente de trabalho e oportunidade de desenvolvimento profissional. Segue alguns detalhes sobre o perfil da vaga: = • *Descrição da Vaga*: - Foco em administração de ferramentas de segurança da informação - *Hardening* de sistemas operacionais *nix (Windows é diferencial). - Administração de ferramentas de *network /endpoint protection* - Desenvolvimento e avaliação de *baselines* de segurança - Desenvolvimento e homologação de ferramentas de segurança - Capacidade de coordenação do trabalho com diferentes equipes - Perfil multidisciplinar * * • *Requisitos: * - O que buscamos: • Mínimo de 3 anos de experiência • Experiência com arquiteturas de IDS/IPS • Experiência na elaboração de baselines de segurança • Experiência com plataformas de virtualização (Vmware / Xen) • Conhecimentos de ao menos uma linguagem de programação • Amplo conhecimento de protocolos de rede • Formação em engenharia ou ciência da computação - Diferenciais: • Experiência nas áreas de tecnologia de segurança da informação, melhores práticas e arquitetura de segurança • Experiência em análises de vulnerabilidade e testes de penetração • Experiência em segurança de aplicações Web • Inglês fluente Interessados podem enviar CV para mim em PVT. Abraços. -- *Geison Porfirio* *Network Engineer - IT Security* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 3 de março de 2013 11:44, Renato Frederick ren...@frederick.eti.brescreveu: Em 03/03/13 07:03, Marcelo Gondim escreveu: Em 03/03/13 02:07, vic escreveu: Em 02-03-2013 20:05, Renato Frederick escreveu: Em 01/03/13 21:20, Marcelo Gondim escreveu: Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs Pois é godim, dei uma googlada(hehehhehe) e a systl é esta[1] net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 Essa configuração ativa o Reverse Packet Filtering[1]. [1]: http://lartc.org/howto/lartc.kernel.html U pode ser que precise dele mesmo mas acredito que desabilitado e não habilitado, ou seja, como você colocou acima. Porque se habilitar ele, no caso do BGP, pode ser que ocorra alguns problemas mesmo, quando o tráfego sair por uma interface e retornar por outra. Mas eu desconheço essa necessidade no FreeBSD. Isso é coisa de Kernel Linux. :) []'s Gondim Valeu Godim! :) minha dúvida era isto mesmo. Mas, pelo visto, não tem problemas o pacote chegar pela XL0 e voltar pela EM3, por exemplo, no caso de um openbgpd! Não, nenhum problema! Eu montei 2 routers de borda rodando FreeBSD + Quagga e eles tem mais de um link... inclusive isso é bem comum de acontecer em BGP. Abs! -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD 9 congelando
Em 4 de março de 2013 17:08, Bruno Oliveira brnolv...@gmail.com escreveu: Lista, boa tarde. Estou utilizando o FreeBSD 9 virtualizado com VMware vSphere em um dos meus servidores de correio eletrônico, hoje o servido já congelou o sistema duas vezes, na primeira apresentando erro de acesso a disco, executei o fsck e resolveu o problema e agora o servidor congelou novamente sem aparecer nenhum alerta de erro, onde devo procurar para tentar encontrar a origem do problema? Desde já agradeço a ajuda. -- Abs, Bruno Oliveira Beagá - Minas Gerais - Brazil +55 (31) 9307 0179 Verifica a memoria, cuidado com o fsck, ele corrompe arquivos em caso de falha na memoria. Att. :=)(=: By NoRm4nD Flamers /dev/null !!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dual Nic na mesma subnet.
Em 2 de março de 2013 21:55, freebsd-requ...@fug.com.br escreveu: 8. Re: Dual Nic na mesma subnet. (Klaus Schneider) Message: 8 Date: Sat, 2 Mar 2013 00:24:54 -0300 From: Klaus Schneider klau...@gmail.com Subject: Re: [FUG-BR] Dual Nic na mesma subnet. To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Message-ID: cahw7put4bv58ddmqfwkzkuzjgwuexozotkrh8m6tjatox7w...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Opa Marcelo, blz? 2013/2/27 Marcelo Araujo araujobsdp...@gmail.com Em 25 de fevereiro de 2013 19:13, freebsd-requ...@fug.com.br escreveu: 7. Re: Dual Nic na mesma subnet. (Renato Botelho) Então Marcelo, O que eu to tentando entender é o que justificaria a necessidade de se ter os dois IPs, cada um em uma interface, na mesma subnet. Cada placa é ligada a um switch ou router diferente? as LANs que vão acessar são distintas, mas compartilham a subnet? Sim, as LANs são distintas, mas elas compartilham a mesma subnet. Porque se não for nenhuma das razões acima, eu não consigo ver razão pra isso mesmo, nesse caso você poderia ter um lagg e os dois IPs configurados na interface lagg, o que funcionaria normalmente já que um dos IPs teria mask 0x. []s -- Renato Botelho Sim, eu poderia ter uma interface lagg, mas não é o meu caso! Até agora, a única maneira que consegui fazer isso funcionar foi com FIB, mais ou menos dessa maneira: root# ifconfig ix0 fib 0 root# ifconfig ix1 fib 1 root# setfib 1 route delete 172.17.22.0/23 root# setfib 1 route add 172.17.22.0/23 -iface ix1 root# setfib 0 smbd -D -s /usr/local/etc/smb_ix0.conf root# setfib 1 smbd -D -s /usr/local/etc/smb_ix1.conf Estou procurando se existe alguma outra alternativa mais fácil de configurar. Mesmo prefixo em duas interfaces, quebra o modelo de roteamento IP. Afinal, por qual lado é o correto sair? O sistema tem o mesmo peso para ambas as interfaces. E se houver dois hosts distintos com o mesmo IP nestas duas subnets? O BSD não vai conseguir montar uma tabela arp com duas entradas para o mesmo endereço. Fazer isso funcionar seria uma gambiarra, pois teria que fazer mudanças nas camadas 2 e 3 do sys/net do FreeBSD, e talvez até mudança de alguns drivers. Você pode fazer a gambiarra de colocar por ex: iface x 172.16.0.1/22 iface y 172.16.0.1/23 O problema é que vai começar a aparecer flap de endereços MAC e problemas com a resolução(arp). E quando resolver sair, vai sair pela iface y se o endereçamento estiver dentro do /23, caso não, sairá pelo /22. A solução menos gambiarra é fazer um NAT de alguma forma. A solução correta: trocar as subnets... hehe Isso não é problema do BSD, e sim do modelo de roteamento IP. Aliás, não é um problema, é como funciona... em qualquer SO, seja IOS, Junos, Linux e Windows... Olá Pessoal, Terminei minhas pesquisas e testes sobre esse assunto; agora é hora de compartilhar! O que eu gostaria de fazer é chamado de Multihoming e é especificado na RFC 1122, para ser mais preciso na section 3.3.4.2. Basicamente existem dois modelos chamados de Strong ES Model and Weak ES Model, o FreeBSD suporta o Weak ES Model que é comum para dispositivos que atuam como ROUTERS e GATEWAYS. Como algumas pessoas comentaram, é necessário fazer várias modificações nas camadas 2 e 3 de rede no KERNEL, estava até pensando em trabalhar nisso, mas realmente é muito complexo e pode quebrar muita coisa. Algumas pessoas chegaram a tentar implementar o modelo Strong ES, mas devido a complexidade na parte de roteamento, não conseguiram. Exemplo de comentário no código relacionado a RFC 1122: File: sys/netinet/ip_input.c 121 /* 122 * XXX - Setting ip_checkinterface mostly implements the receive side of 123 * the Strong ES model described in RFC 1122, but since the routing table 124 * and transmit implementation do not implement the Strong ES model, 125 * setting this to 1 results in an odd hybrid. Na entrada, o KERNEL consegue identificar o pacote e direcionar para a placa correta, agora o problema é na saída e também na tabela de roteamento. FreeBSD suporta a RFC 1122 sem problema algum, mas no modelo Weak ES, para utilizar algo como no modelo Strong ES é necessário usar source based policy routing que pode ser implementado usando FIB(como já é sabido). Fiz vários testes, e todos eles falharam! 1) ipfw fwd: É possível fazer fwd para multiplos gateways, mas eles não podem fazer parte da mesma subnet. 2) pf reply-to e route-to: Mesma coisa como o ipfw, única diferença é que é possível fazer loadbalance e etc. 3) netgraph - ng_one2many: Podemos fazer routing para multiplos links one-to-many e o inverso para many-to-one sem problemas, mas ele falha igualmente nos casos 1 e 2. 4) Jail - nem vou comentar... :P Sendo assim, não existe uma maneira fácil igualmente implementada no Linux(iproute2), e