[FUG-BR] RES: RES: RES: Número de regras no ipfw
Renato Frederick
frederick em dahype.org
Quarta Julho 15 10:10:34 BRT 2009
poweredge 1900:
CPU: Intel(R) Xeon(R) CPU E5310 @ 1.60GHz (1596.05-MHz K8-class CPU)
real memory = 4285136896 (4086 MB)
avail memory = 4120846336 (3928 MB)
bce0: <Broadcom NetXtreme II BCM5708 1000Base-T (B2)> mem 0xf8000000-0xf9ffffff irq 16 at device 0.0 on pci3
em0: <Intel(R) PRO/1000 Network Connection 6.9.6> port 0xecc0-0xecff mem 0xfe9e0000-0xfe9fffff irq 69 at device 7.0 on pci4
da0: <SEAGATE ST3146855SS S515> Fixed Direct Access SCSI-5 device
da0: 300.000MB/s transfers, Tagged Queueing Enabled
da0: 140014MB (286749480 512 byte sectors: 255H 63S/T 17849C)
no caso da0 é um RAID5 de 3 discos SAS.
Como é Xeon, são 4 processadores que o sistema localiza:
Cores per package: 4
FreeBSD/SMP: Multiprocessor System Detected: 4 CPUs
cpu0 (BSP): APIC ID: 0
cpu1 (AP): APIC ID: 1
cpu2 (AP): APIC ID: 2
cpu3 (AP): APIC ID: 3
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de Edinilson - ATINET
> Enviada em: quarta-feira, 15 de julho de 2009 09:50
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: RES: Número de regras no ipfw
> Prioridade: Alta
>
> Caro Renato, esta muito parecido com o que utilizo aqui.
> Poderia passar certinho o modelo da motherboard e do processador?
>
> Obrigado
>
> Edinilson
> ---------------------------------------------------------
> ATINET-Professional Web Hosting
> Tel Voz: (0xx11) 4412-0876
> http://www.atinet.com.br
>
>
> ----- Original Message -----
> From: "Renato Frederick" <frederick em dahype.org>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, July 13, 2009 4:21 PM
> Subject: [FUG-BR] RES: RES: Número de regras no ipfw
>
>
> net.inet.ip.fw.one_pass: 1
>
> lógica de regras, tproxy, pipe cliente, liberação cliente, política
> fechada,
> ou seja:
>
>
>
> 20 - fwd IP_PROXY,3128 tcp from CLIENTE_X/20 to any 80 in via $intif
> (tproxy)
> 21 - fwd IP_PROXY tcp from any 80 to CLIENTE_X/20 in via $extif(tproxy
> [..]
> [..]
> 600 - pipe 600 ip from CLIENTE_1 to any out
> 601 - pipe 601 ip from any to CLIENTE1
> [..]
> [..]
> 605 - pipe 605 ip from CLIENTE_1 to any out
> 606 - pipe 606 ip from any to CLIENTE1
> [..]
> [..]
>
> 3000 - allow ip from CLIENTE_1 to any
> 3001 - allow ip from any to CLIENTE1
> [..]
> [..]
> 3005 - allow ip from CLIENTE_1 to any
> 3006 - allow ip from any to CLIENTE1
> [..]
> [..]
> 65500 deny log all from CLIENTE_X/20 to any
>
> Como se vê, regra fechada, cliente não explicitadamente declarado não
> navega.
>
>
>
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> > nome de Edinilson - ATINET
> > Enviada em: segunda-feira, 13 de julho de 2009 15:58
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] RES: Número de regras no ipfw
> > Prioridade: Alta
> >
> > Caro Renato, poderia nos passar a logica de suas regras? Só para
> termos
> > ideia do motivo das nossas estarem gerando tanta latencia assim e as
> > suas
> > nao.
> >
> > Voce utiliza a variavel:
> > net.inet.ip.fw.one_pass
> >
> > Com 0 ou 1?
> >
> > Obrigado
> >
> > Edinilson
> > ---------------------------------------------------------
> > ATINET-Professional Web Hosting
> > Tel Voz: (0xx11) 4412-0876
> > http://www.atinet.com.br
> >
> >
> > ----- Original Message -----
> > From: "Renato Frederick" <frederick em dahype.org>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Wednesday, July 08, 2009 5:06 PM
> > Subject: [FUG-BR] RES: Número de regras no ipfw
> >
> >
> > Aqui tenho um sisteminha simples em php/mysql que faz as regras,
> olhei
> > aqui
> > e a tabela já tem 2k registros.
> >
> > Então, isto dá 4mil regras ipfw(tráfego in/out).
> >
> > Não tem nenhum problema de performance.
> >
> > Lembrando que não faço keep-state para, em caso de vírus ou ataques,
> > não
> > abrir muitas conexões dinâmicas e matar o servidor.
> >
> >
> >
> >
> > > -----Mensagem original-----
> > > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]
> Em
> > > nome de Ari Arantes Filho
> > > Enviada em: quarta-feira, 8 de julho de 2009 16:42
> > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > Assunto: Re: [FUG-BR] Número de regras no ipfw
> > >
> > > As máquinas que dizem eram máquinas Xeon?
> > > Consumo de interrupção no top, você diz:
> > >
> > > CPU states: 2.2% user, 0.0% nice, 3.2% system, 1.8% interrupt,
> > > 92.9%
> > > idle
> > >
> > > esse 1,8%?
> > >
> > > []s,
> > >
> > > Ari
> > >
> > >
> > > 2009/7/8 Joao Rocha Braga Filho <goffredo em gmail.com>
> > >
> > > > 2009/7/8 Edinilson - ATINET <edinilson em atinet.com.br>:
> > > > > Em 1 maquina apenas acredito que voce tera problemas...
> > > > > Tive uma situacao destas uns meses atras, com uma quantidade
> > > parecida.
> > > > > Aumentou demais a latencia dos usuarios.
> > > >
> > > > Eu tive problemas com consumo de CPU, que era mostrado como
> > > > interrupção no top. Estou refazendo o controle para usar alguma
> > > > forma de hash, e assim passar pelo menor número de regras
> > possíveis.
> > > >
> > > > Mas se é para liberar ou bloquear usuários, não existe nada mais
> > > > eficiente do que usar tables do ipfw, como eu faço.
> > > >
> > > >
> > > > João Rocha.
> > > >
> > > >
> > > > >
> > > > > Edinilson
> > > > > ---------------------------------------------------------
> > > > > ATINET-Professional Web Hosting
> > > > > Tel Voz: (0xx11) 4412-0876
> > > > > http://www.atinet.com.br
> > > > >
> > > > >
> > > > > ----- Original Message -----
> > > > > From: "Ari Arantes Filho" <ari em dd.com.br>
> > > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > > > <freebsd em fug.com.br>
> > > > > Sent: Wednesday, July 08, 2009 8:04 AM
> > > > > Subject: [FUG-BR] Número de regras no ipfw
> > > > >
> > > > >
> > > > > Pessoal,
> > > > > Qual o limite e um número aceitável de regras no ipfw? Penso em
> > > fazer um
> > > > > sistema para liberar dinamicamente a conexão do usuário, mas
> > tenho
> > > > receito
> > > > > de perder performance. Umas 3000 regras é viável?
> > > > >
> > > > > Obrigado,
> > > > >
> > > > > Ari
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > > >
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > "Sempre se apanha mais com as menores besteiras. Experiência
> > > própria."
> > > >
> > > > goffredo em gmail.com
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd