[FUG-BR] RES: PF muito lento.

Marcio A. Sepp marcio em zyontecnologia.com.br
Segunda Outubro 22 21:34:41 BRST 2007


O pf do freebsd funciona de forma diferente do pf do open...

Mas será que não é um número excessivo de conexões passando por ele?  Veja
com:  pfctl -ss | cat -n  e verifique se não tem muitas conexões em aberto.
Talvez tenha que limitar o tempo de vida das conexões.

É só um chute...  



Att.
Márcio A. Sepp
 

> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br 
> [mailto:freebsd-bounces em fug.com.br] Em nome de Giancarlo Rubio
> Enviada em: segunda-feira, 22 de outubro de 2007 20:37
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] PF muito lento.
> 
> Esse seu cenario e basico seu hardware parece ser mais suficiente.
> Isto esta cheirando dns, procure usar ferramentas como 
> tcpdump para verificar como os pacotes se comportam, procure 
> testar a rede sem maquinas.
> 
> Uma outra coisa sem firewall sua rede fica mais rapida?
> Poste suas regras, envie um ps e um top num momento de carga alta.
> 
> 
> Em 22/10/07, Oliver Thies<oliver_thies em hotmail.com> escreveu:
> >
> > Olá para todos da lista.
> > Este é o meu primeiro post.
> > Estou recorrendo a lista pois já lí varios artigos , uma 
> parte do handbook, e um guia para Open bsd e nao achei respostas.
> >
> > Á alguns dias montei um firewall simplezinho com pf, apenas 
> com intuito de fazer redirecionamento de trafego para 
> servidores web com IP privado a fim de ganhar um pouco mais 
> de segurança.
> >
> > O esquema da Minha rede é o seguinte
> > Config de Hardware do firewall.
> > DELL 1435
> > Processador AMD Opteon dual core 1.8ghz HD SATA 4GB Memoria
> > 2 Placas de rede GIGA
> > 1 Placa ligada no link da embratel(100mb full)
> > 1 Placa ligada na rede interna
> >
> > LINK
> >   |
> >   |
> > FIREWALL 200.xxx.xxx.87,200.xxx.xxx.73,200.xxx.xxx.70 if_ext
> >   |            10.10.1.1                                    
>                     if_int
> >   |
> >   |---------------Balanceamento(Round Robin ->este serviço 
> necessida de 2 servers)
> >   |                                         |
> >   |                                         
> |--------servidor web1(10.10.1.7)
> >   |                                         
> |--------servidor web2(10.10.1.6)
> >   |
> >   |---------------servidor web3(sem balanceamento - apenas 
> paginas php 
> > - 10.10.1.5)
> >
> >
> > Levantei 3 ips na placa externa do firewall, cada ip 
> responde para 1 serviço, que é encaminhado para a maquina de 
> destino na rede interna.
> > Tudo isso está funcionando.
> > O grande problema é a demora que está ocorrendo para 
> acessar os serviços, chega a dar timeout no browser.
> > Nao aparece nada em dmesg e nem nos logs.
> > Precisei desativar o firewall para voltar o serviço ao normal.
> > O tráfego medido na interface externa do firewall chega a 
> 70mb constante em horarios de pico, em horarios normais fica a 60mb.
> > O load da maquina fica em 0.2 com 90% livre de 
> processamento e 24MB de memoria ATIVA.
> >
> >
> > Já recompilei kernel com alguns parametros trocados
> > maxusers      4096
> > options         PMAP_SHPGPERPROC=2048
> > options         HZ=1000
> > Ja usei o sysctl
> > kern.ipc.somaxconn=8192
> > net.inet.ip.portrange.first=1025
> > net.inet.tcp.recvspace=4096
> > E mesmo assim num rola...
> >
> >
> > Vou continuar tentando por aqui.
> > Mas se alguer poder dar uma forcinha eu agradeço..
> > Até + pessoal.
> >
> >
> >
> >
> >
> >
> >
> > _________________________________________________________________
> > Receba GRÁTIS as mensagens do Messenger no seu celular 
> quando você estiver offline. Conheça  o MSN Mobile!
> > http://mobile.live.com/signup/signup2.aspx?lc=pt-br
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> --
> Giancarlo Rubio
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 



Mais detalhes sobre a lista de discussão freebsd