Re: [FUG-BR] PF com falha ICMP
Em 6 de abril de 2010 21:31, Giancarlo Rubio gianru...@gmail.com escreveu: Perdão envie do celular sem editar. Renata, de uma olhada no symon[1], ele faz esse tipo de grafico que voce quer. [1] www.xs4all.nl/~wpd/*symon*/ Em 6 de abril de 2010 21:19, Giancarlo Rubio gianru...@gmail.com escreveu: remara, Dmse uma olhada no symon. Ele faz esses grafixos o q vc quer. Em 4 6, 2010 9:09 PM, Renata Dias renatchi...@gmail.comescreveu: Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.com escreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha... Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: ht... -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Giancarlo, Ja haviam me indicado o Symon em um outro tópico relacionado a isso que eu tbm mandei na lista. Estou instalando e vou testar, mas é que seria intreressante unificar os graficos em um só sistema. De qualquer forma, muito obrigada. -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha aumentando a banda na minha fila pai total e total_out, pois ambas estavam definidas em 34Mb que e o trafego estava no limite... por isso a mensagem de no buffer space. Aumentei pra 80Mb (embora eu não tenha todo esse link de saída pra internet) e alterei algumas sysctl tbm. # PF + ALTQ net.inet.ip.intr_queue_maxlen=200 kern.ipc.somaxconn=512 kern.ipc.maxsockbuf=1048576 Sistema está agora 100% funcional!! Estou editando um template de PF para Cati pra medir o trafego de cada uma das filas porque não achei pronto nenhum :( Valew !! Oi Renata, vc está usando um script pra coletar os dados para o Cacti? Ou usando algo como bsnmpd? Ainda não montei uma solução com ALTQ mas já quero deixar as coisas meio que definidas por aqui... alguma recomendação? Abs, Vinícius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.comescreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha aumentando a banda na minha fila pai total e total_out, pois ambas estavam definidas em 34Mb que e o trafego estava no limite... por isso a mensagem de no buffer space. Aumentei pra 80Mb (embora eu não tenha todo esse link de saída pra internet) e alterei algumas sysctl tbm. # PF + ALTQ net.inet.ip.intr_queue_maxlen=200 kern.ipc.somaxconn=512 kern.ipc.maxsockbuf=1048576 Sistema está agora 100% funcional!! Estou editando um template de PF para Cati pra medir o trafego de cada uma das filas porque não achei pronto nenhum :( Valew !! Oi Renata, vc está usando um script pra coletar os dados para o Cacti? Ou usando algo como bsnmpd? Ainda não montei uma solução com ALTQ mas já quero deixar as coisas meio que definidas por aqui... alguma recomendação? Abs, Vinícius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
remara, Dmse uma olhada no symon. Ele faz esses grafixos o q vc quer. Em 4 6, 2010 9:09 PM, Renata Dias renatchi...@gmail.comescreveu: Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.com escreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha... Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: ht... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Perdão envie do celular sem editar. Renata, de uma olhada no symon[1], ele faz esse tipo de grafico que voce quer. [1] www.xs4all.nl/~wpd/*symon*/ Em 6 de abril de 2010 21:19, Giancarlo Rubio gianru...@gmail.com escreveu: remara, Dmse uma olhada no symon. Ele faz esses grafixos o q vc quer. Em 4 6, 2010 9:09 PM, Renata Dias renatchi...@gmail.comescreveu: Em 6 de abril de 2010 17:46, Vinicius Abrahao vinnix@gmail.com escreveu: 2010/4/3 Renata Dias renatchi...@gmail.com: Pessoal, Consegui resolver essa falha... Oi Vinicius, Eu configurei o bsnmp habiliando o PF nele e no net-snmp eu adicionei a seguinte linha: exec -v2c -c secret localhost:3408 .1.3.6.1.4.1.12325 Ai quando eu rodo o snmpwalk ele me da toda a saída do PF: # snmpwalk -v2c -c secret localhost .1.3.6.1.4.1.12325 | more Porém a MIB do PF só informa a contagem de bytes para as regras de pass e drop, ele até mostra as filas configuradas no ALTQ, mas não achei nada em relação a contagem de bytes de cada uma das filas pra poder gerar graficos de acordo com o uso de cada fila. No site do cacti tem template pra PF, mas apenas para as regras de pass e drop, afinal ele pega esses dados via SNMP. O que estou fazendo é criando um script que pegue os dados (bytes) de cada fila via o comando pfctl e envie para este mesmo template do cacti, como se fosse o trafego que ele pega via SNMP. Entendeu? Se alguém de lista ja tiver isso desenvolvido poderia dar umas dicas.. indicar o caminho das pedras.. rsrs Até ! -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: ht... -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Pessoal,
Consegui resolver essa falha aumentando a banda na minha fila pai total
e total_out, pois ambas estavam definidas em 34Mb que e o trafego estava no
limite... por isso a mensagem de no buffer space. Aumentei pra 80Mb
(embora eu não tenha todo esse link de saída pra internet) e alterei algumas
sysctl tbm.
# PF + ALTQ
net.inet.ip.intr_queue_maxlen=200
kern.ipc.somaxconn=512
kern.ipc.maxsockbuf=1048576
Sistema está agora 100% funcional!! Estou editando um template de PF para
Cati pra medir o trafego de cada uma das filas porque não achei pronto
nenhum :(
Valew !!
Em 23 de março de 2010 12:22, Renata Dias renatchi...@gmail.com escreveu:
Em 19 de março de 2010 16:34, Aline Freitas al...@bsd.com.br escreveu:
Renata,
Eu já fiquei com minha rede assim devido a otimizações mal feitas no
sysctl.conf. O que você tem nele?
[]'s
Aline
On Mar 19, 2010, at 10:37 AM, Renata Dias wrote:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém
nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space
available.
Testei algumas opções que encontrei na internet, como: set limit
{ states
10, src-nodes 10, frags 5000 } , porém sem
sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out
voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100%
realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime
2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime
2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime
5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95%
realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime
5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to
any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to
any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Oi Aline,
# MAC
Re: [FUG-BR] PF com falha ICMP
Em 19 de março de 2010 16:34, Aline Freitas al...@bsd.com.br escreveu:
Renata,
Eu já fiquei com minha rede assim devido a otimizações mal feitas no
sysctl.conf. O que você tem nele?
[]'s
Aline
On Mar 19, 2010, at 10:37 AM, Renata Dias wrote:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém
nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space
available.
Testei algumas opções que encontrei na internet, como: set limit
{ states
10, src-nodes 10, frags 5000 } , porém sem
sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out
voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100%
realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime
2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime
2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime
5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95%
realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime
5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to
any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to
any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Oi Aline,
# MAC - Layer 2
net.link.ether.ipfw=1
Apenas habilito a camada 2 para as regras de MAC do IPFW. Porém, para
testes, eu desabilitei essa sysctl e ativei o PF... o resultado foi o mesmo
(no buffer space) no meio das respostas de ping.
Obrigada.
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF com falha ICMP
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Este limite está muito alto.
Já usei pf em redes com 400 maquinas, usando politica de bloquear tudo
e meu limite de estados era o default.
Não será algum vírus na sua rede?
Quantas maquinas passam por esse firewall?
Poste a quantidade de estados atuais usando
# pfctl -ss |wc -l
265
Em 19 de março de 2010 10:37, Renata Dias renatchi...@gmail.com escreveu:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF com falha ICMP
Este valor eu peguei em um forum e adicionei para testes, mas não adiantou
em nada. o Default do state é 1, mas tentei com 5 e 10 e não
tive sucesso também.
Ao ativar o PF a quantidade de estados só faz aumentar. Deixei rodando por
1min:
# pfctl -ss | wc -l
18989
Sou provedor de acesso e por isso são N hosts que passam por este
servidor.
Meu firewall está em IPFW, mas estou usando o PF somente para a priorização
do trafego com o ALTQ, porém é só ativar o PF para o ping responder com
perdas e No buffer space available entre as respostas de ping.
Obrigada.
--
Renata Dias
Em 19 de março de 2010 10:44, Giancarlo Rubio gianru...@gmail.comescreveu:
Este limite está muito alto.
Já usei pf em redes com 400 maquinas, usando politica de bloquear tudo
e meu limite de estados era o default.
Não será algum vírus na sua rede?
Quantas maquinas passam por esse firewall?
Poste a quantidade de estados atuais usando
# pfctl -ss |wc -l
265
Em 19 de março de 2010 10:37, Renata Dias renatchi...@gmail.com
escreveu:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any
keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any
keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna
to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
{
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico:
Re: [FUG-BR] PF com falha ICMP
Hum...
Tente monitorar o que suas regras de fila estão fazendo no momento que
há perda de pacotes.
Provavelmente alguma regra esteja matando seu tráfego..
Aqui eu monitoro com
# while true ;do clear ; pfctl -sq -v ; sleep 1 ; done
Em 19 de março de 2010 11:26, Renata Dias renatchi...@gmail.com escreveu:
Este valor eu peguei em um forum e adicionei para testes, mas não adiantou
em nada. o Default do state é 1, mas tentei com 5 e 10 e não
tive sucesso também.
Ao ativar o PF a quantidade de estados só faz aumentar. Deixei rodando por
1min:
# pfctl -ss | wc -l
18989
Sou provedor de acesso e por isso são N hosts que passam por este
servidor.
Meu firewall está em IPFW, mas estou usando o PF somente para a priorização
do trafego com o ALTQ, porém é só ativar o PF para o ping responder com
perdas e No buffer space available entre as respostas de ping.
Obrigada.
--
Renata Dias
Em 19 de março de 2010 10:44, Giancarlo Rubio gianru...@gmail.comescreveu:
Este limite está muito alto.
Já usei pf em redes com 400 maquinas, usando politica de bloquear tudo
e meu limite de estados era o default.
Não será algum vírus na sua rede?
Quantas maquinas passam por esse firewall?
Poste a quantidade de estados atuais usando
# pfctl -ss |wc -l
265
Em 19 de março de 2010 10:37, Renata Dias renatchi...@gmail.com
escreveu:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space available.
Testei algumas opções que encontrei na internet, como: set limit { states
10, src-nodes 10, frags 5000 } , porém sem sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6% ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5% ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2% ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100% realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2% ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5% ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5% ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime 10%
ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5% ecn
red)
pass in quick on $if_wan_upload proto icmp from rede_interna to any
keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to any
keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from rede_interna
to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
{
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to any
port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any port
22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp
Re: [FUG-BR] PF com falha ICMP
Renata,
Eu já fiquei com minha rede assim devido a otimizações mal feitas no
sysctl.conf. O que você tem nele?
[]'s
Aline
On Mar 19, 2010, at 10:37 AM, Renata Dias wrote:
Caros,
Encontrei varias discussões a respeito da minha dúvida, porém
nenhuma
com solução!
Eu ativo o pf e a rede passa a responder com No buffer space
available.
Testei algumas opções que encontrei na internet, como: set limit
{ states
10, src-nodes 10, frags 5000 } , porém sem
sucesso.
Segue meu pf.conf
if_wan_upload=em0
if_lan_download=em1
table rede_interna { 192.168.0.0/24, 10.0.10.0/24 }
altq on $if_wan_upload hfsc bandwidth 100% queue total_out
queue total_out bandwidth 34Mb hfsc(upperlimit 34Mb) { ping_out
voip_out
dns_out http-https_out pop_out smtp_out ssh_out outros_out p2p_out }
queue ping_out bandwidth 6% priority 9 hfsc(upperlimit 100%
realtime 6%
ecn red)
queue voip_out bandwidth 5% priority 8 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue dns_out bandwidth 2% priority 7 hfsc(upperlimit 100% realtime
2% ecn
red)
queue http-https_out bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime 60% ecn red)
queue ssh_out bandwidth 2% priority 5 hfsc(upperlimit 100% realtime
2% ecn
red)
queue smtp_out bandwidth 5% priority 4 hfsc(upperlimit 100%
realtime 5%
ecn red)
queue pop_out bandwidth 5% priority 3 hfsc(upperlimit 100% realtime
5% ecn
red)
queue outros_out bandwidth 10% priority 2 hfsc(upperlimit 95%
realtime 10%
ecn red default)
queue p2p_out bandwidth 5% priority 1 hfsc(upperlimit 80% realtime
5% ecn
red)
altq on $if_lan_download hfsc bandwidth 100Mb queue total
queue total bandwidth 34Mb hfsc(upperlimit 34Mb) { ping voip dns
http-https
ssh smtp pop outros p2p }
queue ping bandwidth 6% priority 9 hfsc(upperlimit 100% realtime 6%
ecn
red)
queue voip bandwidth 5% priority 8 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue dns bandwidth 2% priority 7 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue http-https bandwidth 60% priority 6 hfsc(upperlimit 100%
realtime
60% ecn red)
queue ssh bandwidth 2% priority 5 hfsc(upperlimit 100% realtime 2%
ecn
red)
queue smtp bandwidth 5% priority 4 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue pop bandwidth 5% priority 3 hfsc(upperlimit 100% realtime 5%
ecn
red)
queue outros bandwidth 10% priority 2 hfsc(upperlimit 95% realtime
10% ecn
red default)
queue p2p bandwidth 5% priority 1 hfsc(upperlimit 80% realtime 5%
ecn red)
pass in quick on $if_wan_upload proto icmp from rede_interna to
any keep
state queue ping_out
pass in quick on $if_lan_download proto icmp from rede_interna to
any keep
state queue ping
pass in quick on $if_wan_upload proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns_out
pass in quick on $if_lan_download proto { tcp, udp } from
rede_interna to
any port 53 keep state queue dns
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port {
80, 443 } keep state queue http-https_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
{ 80, 443 } keep state queue http-https
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port
110 keep state queue pop_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
110 keep state queue pop
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 25
keep state queue smtp_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
25 keep state queue smtp
pass in quick on $if_wan_upload proto tcp from rede_interna to any
port 22
keep state queue ssh_out
pass in quick on $if_lan_download proto tcp from rede_interna to
any port
22 keep state queue ssh
--
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
