Re: [FUG-BR] PF muito lento.
Existe alguma forma para ver qual se o pf ta abrindo o bico, ou algum geito de monitorar as conexoes? Coloquei novamente em produção, tá dando umas engasgadas ainda... valeu pessoal Olá, Minha estrutura é simplesmente o PF fazendo uma DMZ. Não uso QOS , simplesmente tenho o PF para redirecionar o trafego para servidores internos. Mas perai, No seu e-mail você diz que o servidor web que recebe o trafego do firewall ficou com a carga alta, certo? Mas então, o que isso tem haver com o pf? do seu e-mail veja: A máquina web que recebe o trafego do firewall ficou com a seguinte carga CPU states: 15.7% user, 0.0% nice, 11.5% system, 5.5% interrupt, 67.3% idle O interessante que pude notar é que de 10 em 10 segundos a maquina ia de 65%idle para 100% e logo em seguida voltava para 65%, e isso pude notar com o firewall em produção. Não consegui entender o que tem haver com o pf. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHHjjHbjyCr4Ixg0wRAjlTAKCNOxJzsn7KiAsJZx3WSOLesRINmQCcDyEk 0aWBFH+ahncaw5VSlLG9zD8= =BHHd -END PGP SIGNATURE- -Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https:/www.fug.com.br/mailman/listinfo/freeb - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF muito lento.
Olá Pessoal,
Tive mesmo que tirar o firewall de produção pois estava causando
prejuisos...
Como não posso mais parar o serviço, fiz um teste de sobrecarga encima
do firewall com o AB.
Usei 2 maquinas Opteron DUal Core no teste com a seguinte linha de
comando
ab -n 10 -c 1000 http://200.xx.xx.87/index.php
O index.php é um phpinfo();
A máquina web que recebe o trafego do firewall ficou com a seguinte
carga
CPU states: 15.7% user, 0.0% nice, 11.5% system, 5.5% interrupt, 67.3%
idle
O interessante que pude notar é que de 10 em 10 segundos a maquina ia de
65%idle para 100% e logo em seguida voltava para 65%, e isso pude notar
com o firewall em produção.
A maquina firewall ficou da seguinte forma.
last pid: 2327; load averages: 0.57, 0.38, 0.18
up 0+01:32:20 08:01:09
27 processes: 1 running, 26 sleeping
CPU states: 0.0% user, 0.0% nice, 0.0% system, 29.9% interrupt, 70.1%
idle
Mem: 15M Active, 9216K Inact, 40M Wired, 20K Cache, 12M Buf, 3855M Free
Swap: 4096M Total, 4096M Free
E a mesma variação de carga ocorreu tbm, como se ela travasse as
conexões.
Só para complementar, no teste com o ab tive 15% de perda de conexao.
pf.conf
## #
# PLACAS DE REDE
## #
ext_if=bge0
int_if=bge1
ip_rede=10.10.1.0/24
adserver=10.10.1.7
PING = echoreq
TCP_IN = { 53, 22, 80, ssh, ftp, 20, 21}
UDP_IN = { 53, 67, 80, 20, 21 }
TCP_OUT = { 53, 22, 80, 20, 21, ftp, http }
UDP_OUT = { 53, 80, 20, 21, domain }
## #
# NORMALIZANDO OS PACOTES
## #
set timeout { tcp.first 60 tcp.opening 15 tcp.established 86400 \
tcp.closing 300 tcp.finwait 15 tcp.closed 15 }
set timeout { udp.first 30 udp.single 15 udp.multiple 30 }
set timeout { icmp.first 10 icmp.error 5 }
set timeout { other.first 30 other.single 15 other.multiple 30 }
set timeout { frag 30 interval 10 }
set limit { states 5 frags 25000 }
set optimization aggressive
set loginterface $ext_if
set loginterface $int_if
set block-policy return
set require-order yes
scrub all fragment reassemble random-id no-df
## #
# FAZENDO NAT
## #
nat on $ext_if from $ip_rede to any - ($ext_if)
## #
# REDIRECIONAMENTO
## #
rdr on $ext_if proto tcp from any to 200.xxx.xxx.87 port www -
$adserver
rdr on $ext_if proto tcp from any to 200.xxx.xxx.87 port 2207 -
$adserver
###
# blockeando tudo por default
#block in log on $int_if all
#block out log on $int_if all
# bloqueando spoof
antispoof for { $ext_if } inet
# bloqueando scanners
block drop in quick on { $ext_if } from any os { NMAP }
# bloqueando trafego ipv6
block log quick inet6
#Liberando loopback
pass quick on lo0 all
# liberando ping/traceroute
pass out log on $ext_if inet proto icmp all icmp-type 8 code 0 keep
state
pass in log on $ext_if inet proto icmp all icmp-type 8 code 0 keep state
# Liberando portas
#INCOMING
#TCP
pass in quick on $ext_if inet proto tcp from any to $ext_if port $TCP_IN
\
flags S/SA keep state
#UDP
#pass in quick on $ext_if inet proto udp from any to $ext_if port
$UDP_IN \
keep state
#PING
pass in quick on $ext_if inet proto icmp from any to $ext_if icmp-type
$PING \
keep state
pass in on $ext_if inet proto { tcp udp } from any to any port 22
pass in on $ext_if inet proto { tcp udp } from any to any port 21
pass in on $ext_if inet proto { tcp udp } from any to any port 20
pass in on $ext_if inet proto { tcp udp } from any to any port 25
pass in on $ext_if inet proto { tcp udp } from any to any port 53
pass in on $ext_if inet proto { tcp udp } from any to any port 80
pass in on $ext_if inet proto { tcp udp } from any to any port 443
pass in on $ext_if inet proto { tcp udp } from any to any port 110
pass in on $ext_if inet proto { tcp udp } from any to any port 8080
pass in on $ext_if inet proto { tcp udp } from any to any port 6667
pass in on $ext_if inet proto { tcp udp } from any to any port 6891
pass in on $ext_if inet proto { tcp udp } from any to any port 6893
pass in on $ext_if inet proto { tcp udp } from any to any port 6900
pass in on $ext_if inet proto { tcp udp } from any to any port 1213
pass in on $ext_if inet proto { tcp udp } from any to any port 1214
pass in on $ext_if inet proto { tcp udp } from any to any port 1832
pass in on $ext_if inet proto { tcp udp } from any to any port 3094
pass in on $ext_if inet proto { tcp udp } from any to any port 3622
pass in on $ext_if inet proto { tcp udp } from any to any port 2216
pass in on $ext_if inet proto tcp from port 20 to $ext_if \
user proxy flags S/SA keep state
#OUTGOING
#EXTERNAL INTERFACE
Re: [FUG-BR] PF muito lento.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Oliver Thies Paulini escreveu: Olá Pessoal, Tive mesmo que tirar o firewall de produção pois estava causando prejuisos... Como não posso mais parar o serviço, fiz um teste de sobrecarga encima do firewall com o AB. Usei 2 maquinas Opteron DUal Core no teste com a seguinte linha de comando ab -n 10 -c 1000 http://200.xx.xx.87/index.php O index.php é um phpinfo(); A máquina web que recebe o trafego do firewall ficou com a seguinte carga CPU states: 15.7% user, 0.0% nice, 11.5% system, 5.5% interrupt, 67.3% idle O interessante que pude notar é que de 10 em 10 segundos a maquina ia de 65%idle para 100% e logo em seguida voltava para 65%, e isso pude notar com o firewall em produção. Bom dia, Seria interessante você falar um pouco mais sobre a sua estrutura de rede, esse servidor web está em uma DMZ e o FreeBSD com o pf é o servidor de firewall dessa DMZ, pode dar maiores detalhes, mas sinceramente se você não utiliza QoS ai na sua rede, (pf) acho que podemos partir para outro tipo de problema. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHHdzKbjyCr4Ixg0wRAnjBAJwPsmlV/ILgjC/iptVefByK/jX6EgCfR24o 1Lik0MdJhPoBNP3eY6qiumg= =J63l -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF muito lento.
Olá, Minha estrutura é simplesmente o PF fazendo uma DMZ. Não uso QOS , simplesmente tenho o PF para redirecionar o trafego para servidores internos. -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Oliver Thies Paulini escreveu: Olá Pessoal, Tive mesmo que tirar o firewall de produção pois estava causando prejuisos... Como não posso mais parar o serviço, fiz um teste de sobrecarga encima do firewall com o AB. Usei 2 maquinas Opteron DUal Core no teste com a seguinte linha de comando ab -n 10 -c 1000 http://200.xx.xx.87/index.php O index.php é um phpinfo(); A máquina web que recebe o trafego do firewall ficou com a seguinte carga CPU states: 15.7% user, 0.0% nice, 11.5% system, 5.5% interrupt, 67.3% idle O interessante que pude notar é que de 10 em 10 segundos a maquina ia de 65%idle para 100% e logo em seguida voltava para 65%, e isso pude notar com o firewall em produção. Bom dia, Seria interessante você falar um pouco mais sobre a sua estrutura de rede, esse servidor web está em uma DMZ e o FreeBSD com o pf é o servidor de firewall dessa DMZ, pode dar maiores detalhes, mas sinceramente se você não utiliza QoS ai na sua rede, (pf) acho que podemos partir para outro tipo de problema. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHHdzKbjyCr4Ixg0wRAnjBAJwPsmlV/ILgjC/iptVefByK/jX6EgCfR24o 1Lik0MdJhPoBNP3eY6qiumg= =J63l -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF muito lento.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Oliver Thies Paulini escreveu: Olá, Minha estrutura é simplesmente o PF fazendo uma DMZ. Não uso QOS , simplesmente tenho o PF para redirecionar o trafego para servidores internos. Mas perai, No seu e-mail você diz que o servidor web que recebe o trafego do firewall ficou com a carga alta, certo? Mas então, o que isso tem haver com o pf? do seu e-mail veja: A máquina web que recebe o trafego do firewall ficou com a seguinte carga CPU states: 15.7% user, 0.0% nice, 11.5% system, 5.5% interrupt, 67.3% idle O interessante que pude notar é que de 10 em 10 segundos a maquina ia de 65%idle para 100% e logo em seguida voltava para 65%, e isso pude notar com o firewall em produção. Não consegui entender o que tem haver com o pf. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHHjjHbjyCr4Ixg0wRAjlTAKCNOxJzsn7KiAsJZx3WSOLesRINmQCcDyEk 0aWBFH+ahncaw5VSlLG9zD8= =BHHd -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF muito lento.
Isso foi um teste com o AB de fora para dentro, carga alta no servidor web significa que os pacotes estao , ou pelo menos uma parte deles estao passando corretamente ao destino. -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Oliver Thies Paulini escreveu: Olá, Minha estrutura é simplesmente o PF fazendo uma DMZ. Não uso QOS , simplesmente tenho o PF para redirecionar o trafego para servidores internos. Mas perai, No seu e-mail você diz que o servidor web que recebe o trafego do firewall ficou com a carga alta, certo? Mas então, o que isso tem haver com o pf? do seu e-mail veja: A máquina web que recebe o trafego do firewall ficou com a seguinte carga CPU states: 15.7% user, 0.0% nice, 11.5% system, 5.5% interrupt, 67.3% idle O interessante que pude notar é que de 10 em 10 segundos a maquina ia de 65%idle para 100% e logo em seguida voltava para 65%, e isso pude notar com o firewall em produção. Não consegui entender o que tem haver com o pf. Abraço, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (MingW32) iD8DBQFHHjjHbjyCr4Ixg0wRAjlTAKCNOxJzsn7KiAsJZx3WSOLesRINmQCcDyEk 0aWBFH+ahncaw5VSlLG9zD8= =BHHd -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF muito lento.
Olá para todos da lista. Este é o meu primeiro post. Estou recorrendo a lista pois já lí varios artigos , uma parte do handbook, e um guia para Open bsd e nao achei respostas. Á alguns dias montei um firewall simplezinho com pf, apenas com intuito de fazer redirecionamento de trafego para servidores web com IP privado a fim de ganhar um pouco mais de segurança. O esquema da Minha rede é o seguinte Config de Hardware do firewall. DELL 1435 Processador AMD Opteon dual core 1.8ghz HD SATA 4GB Memoria 2 Placas de rede GIGA 1 Placa ligada no link da embratel(100mb full) 1 Placa ligada na rede interna LINK | | FIREWALL 200.xxx.xxx.87,200.xxx.xxx.73,200.xxx.xxx.70 if_ext |10.10.1.1 if_int | |---Balanceamento(Round Robin -este serviço necessida de 2 servers) | | | |servidor web1(10.10.1.7) | |servidor web2(10.10.1.6) | |---servidor web3(sem balanceamento - apenas paginas php - 10.10.1.5) Levantei 3 ips na placa externa do firewall, cada ip responde para 1 serviço, que é encaminhado para a maquina de destino na rede interna. Tudo isso está funcionando. O grande problema é a demora que está ocorrendo para acessar os serviços, chega a dar timeout no browser. Nao aparece nada em dmesg e nem nos logs. Precisei desativar o firewall para voltar o serviço ao normal. O tráfego medido na interface externa do firewall chega a 70mb constante em horarios de pico, em horarios normais fica a 60mb. O load da maquina fica em 0.2 com 90% livre de processamento e 24MB de memoria ATIVA. Já recompilei kernel com alguns parametros trocados maxusers 4096 options PMAP_SHPGPERPROC=2048 options HZ=1000 Ja usei o sysctl kern.ipc.somaxconn=8192 net.inet.ip.portrange.first=1025 net.inet.tcp.recvspace=4096 E mesmo assim num rola... Vou continuar tentando por aqui. Mas se alguer poder dar uma forcinha eu agradeço.. Até + pessoal. _ Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver offline. Conheça o MSN Mobile! http://mobile.live.com/signup/signup2.aspx?lc=pt-br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF muito lento.
Esse seu cenario e basico seu hardware parece ser mais suficiente. Isto esta cheirando dns, procure usar ferramentas como tcpdump para verificar como os pacotes se comportam, procure testar a rede sem maquinas. Uma outra coisa sem firewall sua rede fica mais rapida? Poste suas regras, envie um ps e um top num momento de carga alta. Em 22/10/07, Oliver Thies[EMAIL PROTECTED] escreveu: Olá para todos da lista. Este é o meu primeiro post. Estou recorrendo a lista pois já lí varios artigos , uma parte do handbook, e um guia para Open bsd e nao achei respostas. Á alguns dias montei um firewall simplezinho com pf, apenas com intuito de fazer redirecionamento de trafego para servidores web com IP privado a fim de ganhar um pouco mais de segurança. O esquema da Minha rede é o seguinte Config de Hardware do firewall. DELL 1435 Processador AMD Opteon dual core 1.8ghz HD SATA 4GB Memoria 2 Placas de rede GIGA 1 Placa ligada no link da embratel(100mb full) 1 Placa ligada na rede interna LINK | | FIREWALL 200.xxx.xxx.87,200.xxx.xxx.73,200.xxx.xxx.70 if_ext |10.10.1.1 if_int | |---Balanceamento(Round Robin -este serviço necessida de 2 servers) | | | |servidor web1(10.10.1.7) | |servidor web2(10.10.1.6) | |---servidor web3(sem balanceamento - apenas paginas php - 10.10.1.5) Levantei 3 ips na placa externa do firewall, cada ip responde para 1 serviço, que é encaminhado para a maquina de destino na rede interna. Tudo isso está funcionando. O grande problema é a demora que está ocorrendo para acessar os serviços, chega a dar timeout no browser. Nao aparece nada em dmesg e nem nos logs. Precisei desativar o firewall para voltar o serviço ao normal. O tráfego medido na interface externa do firewall chega a 70mb constante em horarios de pico, em horarios normais fica a 60mb. O load da maquina fica em 0.2 com 90% livre de processamento e 24MB de memoria ATIVA. Já recompilei kernel com alguns parametros trocados maxusers 4096 options PMAP_SHPGPERPROC=2048 options HZ=1000 Ja usei o sysctl kern.ipc.somaxconn=8192 net.inet.ip.portrange.first=1025 net.inet.tcp.recvspace=4096 E mesmo assim num rola... Vou continuar tentando por aqui. Mas se alguer poder dar uma forcinha eu agradeço.. Até + pessoal. _ Receba GRÁTIS as mensagens do Messenger no seu celular quando você estiver offline. Conheça o MSN Mobile! http://mobile.live.com/signup/signup2.aspx?lc=pt-br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
