[FUG-BR] Performance estranha e quedas na conexão
Renato Frederick
renato em frederick.eti.br
Quarta Outubro 13 13:41:42 BRT 2010
acredito que o problema dele era o divert any to any... fazendo regra
mais específica resolveu, certo? :)
Eu costumo usar o PF e o IPFW, o segundo pra fazer proxy transparente +
TPROXY
Em 13/10/10 12:28, Rodrigo Mosconi escreveu:
> Pode sim
>
> De fato, é possível usar os 3 filtros juntos (IPF, PF, e IPFW). Mas
> basta um block/deny num deles para negar a comunicação.
>
> Nada te impede de usar o nat do PF, em conjunto com os filtros do IPFW.
>
> É possível usar o filtro e nat do PF, por exemplo, em conjunto dos
> recursos avançados do IPFW (jail, user,...).
>
> Em 13 de outubro de 2010 11:55, Marcelo Gondim
> <gondim em linuxinfo.com.br> escreveu:
>> Opa Alessandro,
>>
>> Eu poderia em um primeiro momento usar apenas o NAT do pf junto com as
>> regras de filtragem do ipfw? Ou teria que fazer todas as regras no pf mesmo?
>>
>> []´s
>>
>> --------------------------------------------------
>> From: "Alessandro de Souza Rocha"<etherlinkii em gmail.com>
>> Sent: Wednesday, October 13, 2010 9:56 AM
>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> <freebsd em fug.com.br>
>> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão
>>
>>> porque vc nao usa o pf pra fazer nat ao inveis de usa natd.
>>>
>>> Em 13 de outubro de 2010 09:33, Renato Frederick
>>> <renato em frederick.eti.br> escreveu:
>>>> Precisa fazer o divert "from any to any"?
>>>>
>>>> O ideal seria 2 regras, uma para out, outra para in e especificando
>>>> endereços de origem/destino.
>>>>
>>>> Outra dúvida, os clientes internos precisam sair com nat pro pgsql?
>>>>
>>>> talvez reescrever a regra seja interessante, até para economia de
>>>> cpu/memória(já que um divert all from any to any empurra pro natd tudo
>>>> que
>>>> passe pelo firewall e venha de ip´s reservados).
>>>>
>>>> []s
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> -----Mensagem Original-----
>>>> From: Antonio Modesto
>>>> Sent: Wednesday, October 13, 2010 8:49 AM
>>>> To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR)
>>>> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão
>>>>
>>>> Tambem tive um problema parecido, e também eram regras erradas no NATD.
>>>>
>>>> On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote:
>>>>
>>>>> Opa fazendo testes aqui em casa já descobri o problema da queda de
>>>>> conexão
>>>>> que pode resolver tanto o problema do putty quanto do PostgreSQL. O
>>>>> problema
>>>>> está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como
>>>>> stateless a saída e a entrada da comunicação dessa forma fazendo uma
>>>>> regra
>>>>> como abaixo resolveu o problema das quedas e quem sabe também poderá
>>>>> resolver o problema da performance. :)
>>>>>
>>>>> ipfw add divert 8668 all from any to any out via re0 keep-state
>>>>>
>>>>> Dessa forma a conexão com o putty se manteve e não caiu mais como se
>>>>> fosse
>>>>> um time-out
>>>>>
>>>>> Assim que tiver feito os outros testes avisarei aqui. :)
>>>>>
>>>>> --------------------------------------------------
>>>>> From: "Marcelo Gondim"<gondim em linuxinfo.com.br>
>>>>> Sent: Tuesday, October 12, 2010 10:38 PM
>>>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>>>> <freebsd em fug.com.br>
>>>>> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão
>>>>>
>>>>>> Oi Rodrigo,
>>>>>>
>>>>>> --------------------------------------------------
>>>>>> From: "Rodrigo Mosconi"<freebsd em mosconi.mat.br>
>>>>>> Sent: Tuesday, October 12, 2010 2:22 PM
>>>>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>>>>> <freebsd em fug.com.br>
>>>>>> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão
>>>>>>
>>>>>>> Marcelo,
>>>>>>>
>>>>>>> Em 12 de outubro de 2010 01:18, Marcelo Gondim
>>>>>>> <gondim em linuxinfo.com.br> escreveu:
>>>>>>>> Olá pessoal,
>>>>>>>>
>>>>>>>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS
>>>>>>>> 5.5
>>>>>>>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras
>>>>>>>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os
>>>>>>>> acessos
>>>>>>>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas
>>>>>>>> estranhas
>>>>>>>> e
>>>>>>>> vim aqui recorrer à experiência de vocês, que tem mais tempo e
>>>>>>>> bagagem
>>>>>>>> com
>>>>>>>> FreeBSD. :)
>>>>>>>>
>>>>>>>> A configuração básica é essa:
>>>>>>>>
>>>>>>>> Internet<-----> Firewall FreeBSD<-----> rede do cliente (Aplicação
>>>>>>>> em
>>>>>>>> Delphi)
>>>>>>>> |
>>>>>>>> |
>>>>>>>> |
>>>>>>>> Servidor PostgreSQL
>>>>>>>>
>>>>>>>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele
>>>>>>>> para
>>>>>>>> a
>>>>>>>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não
>>>>>>>> estou
>>>>>>>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o
>>>>>>>> CentOS
>>>>>>>> e a aplicação voltou ao normal e sua velocidade.
>>>>>>>>
>>>>>>>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação
>>>>>>>> conectada
>>>>>>>> na base e depois de um tempo sem fazer nada no sistema, quando ele
>>>>>>>> vai
>>>>>>>> fazer
>>>>>>>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como
>>>>>>>> se
>>>>>>>> a
>>>>>>>> conexão tivesse sido fechada por time-out. Isso também ocorre com o
>>>>>>>> putty,
>>>>>>>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu
>>>>>>>> ficar
>>>>>>>> um
>>>>>>>> tempo com o putty parado, sem digitar nada, a conexão cai também.
>>>>>>>> Fiz
>>>>>>>> o
>>>>>>>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a
>>>>>>>> conexão
>>>>>>>> ssh caiu no putty.
>>>>>>>>
>>>>>>>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade
>>>>>>>> estaria
>>>>>>>> relacionada à algum tunning e se essas quedas na conexão tcp por
>>>>>>>> time-out
>>>>>>>> tem algum ajuste também?
>>>>>>>>
>>>>>>>> []´s a todos e agradeço desde já qualquer luz :)
>>>>>>>
>>>>>>> 1- Há nat entre os clientes e a base PG? É um cenário parecido com o
>>>>>>> email anterior da lista?
>>>>>>>
>>>>>>
>>>>>> Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no
>>>>>> programa
>>>>>> dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat
>>>>>> para
>>>>>> 192.168.10.2.
>>>>>> O nat pode estar causando essa lentidão?
>>>>>>
>>>>>>> 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é
>>>>>>> executado
>>>>>>> o link sobe? Um flush do ipfw limpa todos os estados, o que derruba
>>>>>>> as conexões.
>>>>>>
>>>>>> O IP é fixo e o script faz um ipfw -f flush antes de carregar as
>>>>>> regras.
>>>>>> Até
>>>>>> pensei na hora que a conexão com a base havia caído no momento em que
>>>>>> rodei
>>>>>> o script mas mesmo sem rodar o script a conexão cai. :( será que
>>>>>> pode
>>>>>> ter
>>>>>> à ver com o polling como coloquei num e-mail anterior? Também vou
>>>>>> fazer
>>>>>> o
>>>>>> teste de retirar todo o Firewall e deixar só o NAT para ver se a
>>>>>> performance
>>>>>> normaliza e as conexões ficam estáveis.
>>>>>>
>>>>>>>
>>>>>>> 3- Já pensou em usar o PF no lugar do IPFW?
>>>>>>>
>>>>>>
>>>>>> Poderia até usar mas achei estranho o que aconteceu e acredito que
>>>>>> seja
>>>>>> alguma falha na minha configuração e não no ipfw em si. De qualquer
>>>>>> forma
>>>>>> pretendo estudar o pf como outra alternativa à firewall. :)
>>>>>>
>>>>>>> Att,
>>>>>>>
>>>>>>> Rodrigo Mosconi
>>>>>>>
>>>>>>>>
>>>>>>
>>>>>>
>>>>>> -------------------------
>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>
>>>> Antonio Modesto
>>>>
>>>> Gerente de TI
>>>>
>>>>
>>>> Praça Getúlio Vargas, 77 – Sala 308 – Centro
>>>>
>>>> Santo Antônio do Monte – MG – CEP: 35560-000
>>>> (37) 3281-2800
>>>>
>>>> isimples em isimples.com.brhttp://www.isimples.com.br
>>>>
>>>>
>>>> Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter
>>>> informações confidenciais e/ou
>>>>
>>>> privilegiadas. Se você não for o destinatário ou a pessoa autorizada a
>>>> receber esta mensagem, por favor, não
>>>>
>>>> leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada
>>>> nessas informações. Notifique o
>>>>
>>>> remetente imediatamente por e-mail e apague a mensagem permanentemente.
>>>> Atenção: embora a Isimples
>>>>
>>>> Telecom, tome seus cuidados para garantir a ausência de vírus neste
>>>> e-mail, a empresa não se responsabiliza
>>>>
>>>> por quaisquer perdas ou danos decorrentes do uso da mensagem e seus
>>>> anexos. A segurança e ausência de
>>>>
>>>> erros na transmissão do e-mail não podem ser garantidas, já que as
>>>> informações podem ser interceptadas,
>>>>
>>>> corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou,
>>>> ainda, conter vírus. Recomendamos
>>>>
>>>> checar se o e-mail e seus anexos contém vírus, uma vez que nem a
>>>> Isimples Telecom ou o remetente se
>>>>
>>>> responsabilizam pela transmissão destes.
>>>>
>>>>
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>>
>>>
>>> --
>>> Alessandro de Souza Rocha
>>> Administrador de Redes e Sistemas
>>> FreeBSD-BR User #117
>>> Long live FreeBSD
>>>
>>> Powered by ....
>>>
>>> (__)
>>> \\\'',)
>>> \/ \ ^
>>> .\._/_)
>>>
>>> www.FreeBSD.org
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd