Não, tudo padrão. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com
On 28/06/07, Joao Victor da Costa <[EMAIL PROTECTED]> wrote: > Ola, > você efetuou algum tipo de tunning nas variaveis (sysctl) de kernel ? > > []'s. > > > On Thu, 2007-06-28 at 10:29 -0300, Gilberto Villani Brito wrote: > > Ola, > > Tenho um firewall com um tráfego maior que 20 mbps com mais de 1500 > > NATs usando PF. > > No meu log estou encontrando as seguintes mensagens: > > ..... > > Jun 28 07:00:09 teste2 pf: BAD state: TCP 190.84.94.146:3954 > > 190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832 > > win=65535 modulator=0] [lo=600059029 high=600124564 win=65535 > > modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0 > > pkts=4:2 dir=in,rev > > Jun 28 07:00:09 teste2 pf: State failure on: 1 | 5 > > Jun 28 07:00:12 teste2 pf: BAD state: TCP 61.228.148.232:21588 > > 61.228.148.232:21588 10.52.15.2:3859 [lo=2649072363 high=2649072365 > > win=64240 modulator=0] [lo=0 high=1 win=1 modulator=0] 2:0 S > > seq=3741585167 ack=0 len=0 ackskew=0 pkts=1:0 dir=in,fwd > > Jun 28 07:00:12 teste2 pf: State failure on: 1 | 5 > > Jun 28 07:00:12 teste2 pf: BAD state: TCP 190.84.94.146:3954 > > 190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832 > > win=65535 modulator=0] [lo=600059029 high=600124564 win=65535 > > modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0 > > pkts=4:2 dir=in,rev > > ..... > > As opções no meu PF são: > > set debug misc > > set timeout { interval 10, frag 30 ,src.track 0 } > > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } > > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } > > set timeout { udp.first 60, udp.single 30, udp.multiple 60 } > > set timeout { icmp.first 20, icmp.error 10 } > > set timeout { other.first 60, other.single 30, other.multiple 60 } > > set timeout { adaptive.start 0, adaptive.end 0 } > > set limit { states 1000000, src-nodes 1000000, frags 50000 } > > set loginterface em0 > > set optimization conservative > > set block-policy drop > > set require-order yes > > set state-policy floating > > > > As vezes o firewall quebra todas as conexões durante algum tempo e > > depois volta sozinho. > > Procurei algo na net sobre isso e não encontrei. > > Alguém já teve algum problema desse?? Será que pode ser algo em alguma > > variável do sistema?? > > > > > > Abraços > -- > Joao Victor da Costa. > Depto. de Suporte Unix > http://www.techmaster.com.br http://www.openit.com.br > http://www.myfreebsd.com.br > > Tel.: 2517-6001 e 2517-6002 > E-mail: [EMAIL PROTECTED], [EMAIL PROTECTED] > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd