Re: [FUG-BR] PF e linux kernel-2.6.17
> -Original Message- > From: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] On Behalf Of Marcus Alves Grando > Sent: sábado, 23 de setembro de 2006 11:36 > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > Subject: Re: [FUG-BR] PF e linux kernel-2.6.17 > > Cristiano Maynart Pereira wrote: > > > > Estou tendo problemas de acesso aos meus servidores que > estão atrás de NAT com PF com clientes que utilizam o Linux > Kernel 2.6.17. Pelo o que eu li, nesta versão o kernel faz > uma espécie de tunning alterando o tamanho do buffer do pacote TCP. > > > > Alguém está tendo este problema também ou tem mais > informações a respeito? > > > > Neste endereço tem um relato sobre o mesmo problema: > > http://kerneltrap.org/node/6723 > > Isso acontece com o kernel 2.6.18? Já tentou desabilitar a > RFC 1323 no teu FreeBSD (Pra mim a última opção)? > > # sysctl net.inet.tcp.rfc1323=0 > > Abraços > > -- > Marcus Alves Grando > marcus(at)corp.grupos.com.br | Grupos Internet S/A >mnag(at)FreeBSD.org | FreeBSD.org > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Marcus, Não testei com o kernel 2.6.18 mas acredito que haverá o mesmo problema. Desabilitei a RFC1323 mas não adiantou. Neste caso, no firewall eu uso OpenBSD, mas isso deve ocorrer com o PF no Free, por isso postei na nesta lista também. Realizei mais pesquisas e descobri que o problema era no momento de reescrever o pacote de saída com tamanho de window scale maior que 7. Acrescentei a regra "pass out $int_if keep state" e "pass out $ext_if keep state" no PF e o problema foi resolvido. Eu utilizo somente bloqueio de entrada no Firewall, todas com keep state, mas não tinha nenhuma regra de saída. Aconselho a todos que utilizam PF, afim de evitar problemas, que adicionem o keep state nas regras de saída ou caso não possuam regras de saída acrescentem apenas a que mencionei acima. Durante as pesquisas vi relatos de pessoas que utilizam o Linux com estas versões de kernel com problemas de lentidão em acesso a algumas páginas, com modems DSL e Switches Layer 7. Quando eu estava fazendo testes no Linux, alterando o tamanho do buffer (echo "4096 87380 174760" > /proc/sys/net/ipv4/tcp_rmem) ou desabilitando o Window Scaling (echo 0 > /proc/sys/net/ipv4/tcp_window_scaling) também resolveu o problema, mas seria inviável pedir a todos os clientes fazerem isso. __ Cristiano Maynart Pereira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e linux kernel-2.6.17
Marcus Alves Grando wrote: > Marcus Alves Grando wrote: >> Cristiano Maynart Pereira wrote: >>> Estou tendo problemas de acesso aos meus servidores que estão atrás de NAT >>> com PF com clientes que utilizam o Linux Kernel 2.6.17. Pelo o que eu li, >>> nesta versão o kernel faz uma espécie de tunning alterando o tamanho do >>> buffer do pacote TCP. >>> >>> Alguém está tendo este problema também ou tem mais informações a respeito? >>> >>> Neste endereço tem um relato sobre o mesmo problema: >>> http://kerneltrap.org/node/6723 >> Isso acontece com o kernel 2.6.18? Já tentou desabilitar a RFC 1323 no >> teu FreeBSD (Pra mim a última opção)? >> >> # sysctl net.inet.tcp.rfc1323=0 >> >> Abraços >> > > Qual a versão do teu FreeBSD (uname -a)? > > Já tentou desabilitar ou mesmo setar os defaults para window scaling que > estavam no kernel 2.6.16? > > De algum jeito funciona ou não funciona com nenhum workaround? Por acaso você não alterou o HZ do kernel do seu FreeBSD não? Pode estar relacionado com isso: http://lists.freebsd.org/mailman/htdig/freebsd-pf/2005-December/001797.html http://lists.freebsd.org/mailman/htdig/freebsd-pf/2005-December/001801.html Abraços -- Marcus Alves Grando marcus(at)corp.grupos.com.br | Grupos Internet S/A mnag(at)FreeBSD.org | FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e linux kernel-2.6.17
Marcus Alves Grando wrote: > Cristiano Maynart Pereira wrote: >> Estou tendo problemas de acesso aos meus servidores que estão atrás de NAT >> com PF com clientes que utilizam o Linux Kernel 2.6.17. Pelo o que eu li, >> nesta versão o kernel faz uma espécie de tunning alterando o tamanho do >> buffer do pacote TCP. >> >> Alguém está tendo este problema também ou tem mais informações a respeito? >> >> Neste endereço tem um relato sobre o mesmo problema: >> http://kerneltrap.org/node/6723 > > Isso acontece com o kernel 2.6.18? Já tentou desabilitar a RFC 1323 no > teu FreeBSD (Pra mim a última opção)? > > # sysctl net.inet.tcp.rfc1323=0 > > Abraços > Qual a versão do teu FreeBSD (uname -a)? Já tentou desabilitar ou mesmo setar os defaults para window scaling que estavam no kernel 2.6.16? De algum jeito funciona ou não funciona com nenhum workaround? Mais info please... fiquei intrigado com isso... Abraços -- Marcus Alves Grando marcus(at)corp.grupos.com.br | Grupos Internet S/A mnag(at)FreeBSD.org | FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF e linux kernel-2.6.17
Cristiano Maynart Pereira wrote: > > Estou tendo problemas de acesso aos meus servidores que estão atrás de NAT > com PF com clientes que utilizam o Linux Kernel 2.6.17. Pelo o que eu li, > nesta versão o kernel faz uma espécie de tunning alterando o tamanho do > buffer do pacote TCP. > > Alguém está tendo este problema também ou tem mais informações a respeito? > > Neste endereço tem um relato sobre o mesmo problema: > http://kerneltrap.org/node/6723 Isso acontece com o kernel 2.6.18? Já tentou desabilitar a RFC 1323 no teu FreeBSD (Pra mim a última opção)? # sysctl net.inet.tcp.rfc1323=0 Abraços -- Marcus Alves Grando marcus(at)corp.grupos.com.br | Grupos Internet S/A mnag(at)FreeBSD.org | FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF e linux kernel-2.6.17
Estou tendo problemas de acesso aos meus servidores que estão atrás de NAT com PF com clientes que utilizam o Linux Kernel 2.6.17. Pelo o que eu li, nesta versão o kernel faz uma espécie de tunning alterando o tamanho do buffer do pacote TCP. Alguém está tendo este problema também ou tem mais informações a respeito? Neste endereço tem um relato sobre o mesmo problema: http://kerneltrap.org/node/6723 Cristiano - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd