[FUG-BR] Firewall PF e Samba

Marcelo de Souza Sant'Anna marcelo.santanna em gmail.com
Sábado Janeiro 12 09:27:27 BRST 2008 

Olá Leandro,

Use o tcpdump para verificar se está tendo problema de resolução de
nomes. Isto, porque pelo que vi em suas regras você não está deixando
que o seu servidor tenha o retorno das pesquisas de DNS e WINS. Desta
forma, quando ativa o PF seus clientes têm dificuldades de se comunicar.
O que ocorre é que tentam se comunicar primeiramente através do nome e
quando não consegue tentam pelo endereço IP, causando lentidão no
acesso.

Estou me baseando nas regras que postou aqui. Outro fator que poderia
estar te atrapalhando seria a otimização das tabelas e do buffer... de
acordo com suas necessidades e limites do seu servidor.

Espero ter ajudado.

Marcelo de Souza Sant'Anna




On Fri, 2008-01-11 at 08:16 -0200, Leandro L J S wrote:

> Olá pessoal 
> Venho pedir uma ajuda a todos 
> estou com um problema de velocidade de acesso ao servidor samba usando o firewall PF
> ou seja se eu desativo o firewall "pfctl -d" fica tudo perfeitinho o acesso ao samba 
> velocidade mil mesmo 
> agora se eu ativo o firewall o acesso ao samba fica lento 
> 
> meu pf.conf
> # Options: tune the behavior of pf, default values are given.
> set timeout { interval 10, frag 30 }
> set timeout { tcp.first 90, tcp.opening 30, tcp.established 86400 }
> set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> set timeout { icmp.first 60, icmp.error 30 }
> set timeout { other.first 60, other.single 30, other.multiple 60 }
> set timeout { adaptive.start 0, adaptive.end 0 }
> set limit { states 10000, frags 5000 }
> set loginterface vr0
> set optimization aggressive
> set block-policy drop
> set require-order yes
> set fingerprints "/etc/pf.os"
> set skip on lo0
> 
> # Scrub para todas as interfaces para pacotes fragmentos perdidos
> scrub in  all
> scrub out  all
> 
> regras de queues das interfaces 
> 
> #Bloqueando a(s) interface(s) interna(s)
> block on xl0 all
> block on xl1 all
> 
> pass in quick on xl0 inet from 189.43.115.136/30 to any
> pass out quick on xl0 inet from any to 189.43.115.136/30
> 
> pass in quick on xl0 proto { udp, tcp } from any to any port { 137, 138, 139, 445 }
> pass out quick on xl0 proto { udp, tcp } from any port { 137, 138, 139, 445 } to any
> pass in quick on xl1 proto { udp, tcp } from any to any port { 137, 138, 139, 445 }
> pass out quick on xl1 proto { udp, tcp } from any port { 137, 138, 139, 445 } to any
> 
> se alguém tiver alguma idéia eu agradeço muito 
> 
> Obrigado 
> 
> _______________________________________________________
> Intersol Soluções em Informática Ltda
> R. Ana Cornélia Ribeiro, 208, Itajubá - MG
> (35) 9911-9613
> Leandro José da Silva
> MSN/EMAIL: leandro em intersolinformatica.com.br
> CAP - Controle Administrativo de Provedores
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : application/pgp-signature
Tam   : 189 bytes
Descr.: This is a digitally signed message part
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20080112/c6c2a48e/attachment.bin

Mais detalhes sobre a lista de discussão freebsd