[FUG-BR] Performance estranha e quedas na conexã o
Olá pessoal, Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os acessos funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas estranhas e vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem com FreeBSD. :) A configuração básica é essa: Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em Delphi) | | | Servidor PostgreSQL 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para a base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou fazendo qualquer controle de tráfego. Achei estranho e voltei para o CentOS e a aplicação voltou ao normal e sua velocidade. 2) Outra coisa estranha que ocorre: o cliente está com aplicação conectada na base e depois de um tempo sem fazer nada no sistema, quando ele vai fazer algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se a conexão tivesse sido fechada por time-out. Isso também ocorre com o putty, tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o mesmo teste voltando para o CentOS e os erros não ocorreram e nem a conexão ssh caiu no putty. Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade estaria relacionada à algum tunning e se essas quedas na conexão tcp por time-out tem algum ajuste também? []´s a todos e agradeço desde já qualquer luz :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o
Cara, tem como vc descrever o cenario um pouco melhor? As redes (as 3), as regras basicas, os modelos de placa de rede usados (para ver se os driver sao legais no freebsd) o so do servidor postgresql. Enfim, mais informacoes. Porque posso garantir que num ambiente estavel, com placas legais, cabeamento e tudo bem feito, a performance da rede se nao for igual a do linux, sera ateh melhor. m3 Em 12 de outubro de 2010 01:18, Marcelo Gondim escreveu: > Olá pessoal, > > Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 > para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras > equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os acessos > funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas estranhas e > vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem com > FreeBSD. :) > > A configuração básica é essa: > > Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em > Delphi) > | > | > | > Servidor PostgreSQL > > 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para a > base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou > fazendo qualquer controle de tráfego. Achei estranho e voltei para o CentOS > e a aplicação voltou ao normal e sua velocidade. > > 2) Outra coisa estranha que ocorre: o cliente está com aplicação conectada > na base e depois de um tempo sem fazer nada no sistema, quando ele vai fazer > algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se a > conexão tivesse sido fechada por time-out. Isso também ocorre com o putty, > tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um > tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o > mesmo teste voltando para o CentOS e os erros não ocorreram e nem a conexão > ssh caiu no putty. > > Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade estaria > relacionada à algum tunning e se essas quedas na conexão tcp por time-out > tem algum ajuste também? > > []´s a todos e agradeço desde já qualquer luz :) > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- m3.bsd.ma...@gmail.com Cel.: (43) 9938-9629 Msn: ma...@oquei.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o
Opa Mario, Obrigado por responder :) Cabeamento vou até descartar porque como disse somente trocando de servidor e mantendo o mesmo cabeamento e demais hardwares, tudo funciona normalmente. Meu ambiente é o seguinte: O Firewall possui 4 interfaces de rede gigabit: re0 (chipset realtek) conectada à Internet, sk0 (chipset da D-Link) essa interface uso apenas para monitorar algumas coisas na rede de clientes, re1 que liga a rede de servidores onde está o PostgreSQL e a re2 que liga direto com um concentrador PPPoE. Uma coisa que me veio à cabeça no momento seria o polling, porque mesmo desabilitando todos os recursos e devices extras na bios, tirei serial, paralela, usb, etc e mesmo assim a re0 continuava compartilhando a irq com a re1 que é justamente a interface da rede dos servidores. Aí fui obrigado à colocar a re0 e a re1 setadas com polling. Isso poderia estar causando a lentidão? O estranho também são as quedas nas conexões com o banco e com o putty(ssh). Basta ficar um tempo sem fazer nada, pouca coisa, tipo uns 3 ou 5 minutos e já cai o putty e o sistema dá erro de SQL dizendo que o servidor encerrou a conexão. O polling poderia estar causando isso? []´s -- From: "Mario Augusto Mania" Sent: Tuesday, October 12, 2010 3:57 AM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > Cara, tem como vc descrever o cenario um pouco melhor? As redes (as > 3), as regras basicas, os modelos de placa de rede usados (para ver se > os driver sao legais no freebsd) o so do servidor postgresql. Enfim, > mais informacoes. Porque posso garantir que num ambiente estavel, com > placas legais, cabeamento e tudo bem feito, a performance da rede se > nao for igual a do linux, sera ateh melhor. > > m3 > > Em 12 de outubro de 2010 01:18, Marcelo Gondim > escreveu: >> Olá pessoal, >> >> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 >> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras >> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os >> acessos >> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas estranhas >> e >> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem >> com >> FreeBSD. :) >> >> A configuração básica é essa: >> >> Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em >> Delphi) >> | >> | >> | >> Servidor PostgreSQL >> >> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para >> a >> base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou >> fazendo qualquer controle de tráfego. Achei estranho e voltei para o >> CentOS >> e a aplicação voltou ao normal e sua velocidade. >> >> 2) Outra coisa estranha que ocorre: o cliente está com aplicação >> conectada >> na base e depois de um tempo sem fazer nada no sistema, quando ele vai >> fazer >> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se a >> conexão tivesse sido fechada por time-out. Isso também ocorre com o >> putty, >> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um >> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o >> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a >> conexão >> ssh caiu no putty. >> >> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade >> estaria >> relacionada à algum tunning e se essas quedas na conexão tcp por time-out >> tem algum ajuste também? >> >> []´s a todos e agradeço desde já qualquer luz :) >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > Atenciosmente > > Mario Augusto Mania > --- > m3.bsd.ma...@gmail.com > Cel.: (43) 9938-9629 > Msn: ma...@oquei.com > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o
Em 12 de outubro de 2010 14:40, Marcelo Gondim escreveu: > Opa Mario, > > Obrigado por responder :) > > Cabeamento vou até descartar porque como disse somente trocando de servidor > e mantendo o mesmo cabeamento e demais hardwares, tudo funciona normalmente. > Meu ambiente é o seguinte: > > O Firewall possui 4 interfaces de rede gigabit: re0 (chipset realtek) > conectada à Internet, sk0 (chipset da D-Link) essa interface uso apenas para > monitorar algumas coisas na rede de clientes, re1 que liga a rede de > servidores onde está o PostgreSQL e a re2 que liga direto com um > concentrador PPPoE. > > Uma coisa que me veio à cabeça no momento seria o polling, porque mesmo > desabilitando todos os recursos e devices extras na bios, tirei serial, > paralela, usb, etc e mesmo assim a re0 continuava compartilhando a irq com a > re1 que é justamente a interface da rede dos servidores. Aí fui obrigado à > colocar a re0 e a re1 setadas com polling. Isso poderia estar causando a > lentidão? > > O estranho também são as quedas nas conexões com o banco e com o putty(ssh). > Basta ficar um tempo sem fazer nada, pouca coisa, tipo uns 3 ou 5 minutos e > já cai o putty e o sistema dá erro de SQL dizendo que o servidor encerrou a > conexão. O polling poderia estar causando isso? > > []´s > > -- > From: "Mario Augusto Mania" > Sent: Tuesday, October 12, 2010 3:57 AM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > >> Cara, tem como vc descrever o cenario um pouco melhor? As redes (as >> 3), as regras basicas, os modelos de placa de rede usados (para ver se >> os driver sao legais no freebsd) o so do servidor postgresql. Enfim, >> mais informacoes. Porque posso garantir que num ambiente estavel, com >> placas legais, cabeamento e tudo bem feito, a performance da rede se >> nao for igual a do linux, sera ateh melhor. >> >> m3 >> >> Em 12 de outubro de 2010 01:18, Marcelo Gondim >> escreveu: >>> Olá pessoal, >>> >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os >>> acessos >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas estranhas >>> e >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem >>> com >>> FreeBSD. :) >>> >>> A configuração básica é essa: >>> >>> Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em >>> Delphi) >>> | >>> | >>> | >>> Servidor PostgreSQL >>> >>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para >>> a >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o >>> CentOS >>> e a aplicação voltou ao normal e sua velocidade. >>> >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação >>> conectada >>> na base e depois de um tempo sem fazer nada no sistema, quando ele vai >>> fazer >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se a >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o >>> putty, >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um >>> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o >>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a >>> conexão >>> ssh caiu no putty. >>> >>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade >>> estaria >>> relacionada à algum tunning e se essas quedas na conexão tcp por time-out >>> tem algum ajuste também? >>> >>> []´s a todos e agradeço desde já qualquer luz :) >>> >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> >> -- >> Atenciosmente >> >> Mario Augusto Mania >> --- >> m3.bsd.ma...@gmail.com >> Cel.: (43) 9938-9629 >> Msn: ma...@oquei.com >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Marcelo, Faz um teste com o firewall desativado e veja se esse comportamente persiste. -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o
Marcelo, Em 12 de outubro de 2010 01:18, Marcelo Gondim escreveu: > Olá pessoal, > > Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 > para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras > equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os acessos > funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas estranhas e > vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem com > FreeBSD. :) > > A configuração básica é essa: > > Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em > Delphi) > | > | > | > Servidor PostgreSQL > > 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para a > base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou > fazendo qualquer controle de tráfego. Achei estranho e voltei para o CentOS > e a aplicação voltou ao normal e sua velocidade. > > 2) Outra coisa estranha que ocorre: o cliente está com aplicação conectada > na base e depois de um tempo sem fazer nada no sistema, quando ele vai fazer > algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se a > conexão tivesse sido fechada por time-out. Isso também ocorre com o putty, > tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um > tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o > mesmo teste voltando para o CentOS e os erros não ocorreram e nem a conexão > ssh caiu no putty. > > Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade estaria > relacionada à algum tunning e se essas quedas na conexão tcp por time-out > tem algum ajuste também? > > []´s a todos e agradeço desde já qualquer luz :) 1- Há nat entre os clientes e a base PG? É um cenário parecido com o email anterior da lista? 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é executado o link sobe? Um flush do ipfw limpa todos os estados, o que derruba as conexões. 3- Já pensou em usar o PF no lugar do IPFW? Att, Rodrigo Mosconi > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o
Oi Rodrigo, -- From: "Rodrigo Mosconi" Sent: Tuesday, October 12, 2010 2:22 PM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > Marcelo, > > Em 12 de outubro de 2010 01:18, Marcelo Gondim > escreveu: >> Olá pessoal, >> >> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 >> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras >> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os >> acessos >> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas estranhas >> e >> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem >> com >> FreeBSD. :) >> >> A configuração básica é essa: >> >> Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em >> Delphi) >> | >> | >> | >> Servidor PostgreSQL >> >> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para >> a >> base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou >> fazendo qualquer controle de tráfego. Achei estranho e voltei para o >> CentOS >> e a aplicação voltou ao normal e sua velocidade. >> >> 2) Outra coisa estranha que ocorre: o cliente está com aplicação >> conectada >> na base e depois de um tempo sem fazer nada no sistema, quando ele vai >> fazer >> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se a >> conexão tivesse sido fechada por time-out. Isso também ocorre com o >> putty, >> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um >> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o >> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a >> conexão >> ssh caiu no putty. >> >> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade >> estaria >> relacionada à algum tunning e se essas quedas na conexão tcp por time-out >> tem algum ajuste também? >> >> []´s a todos e agradeço desde já qualquer luz :) > > 1- Há nat entre os clientes e a base PG? É um cenário parecido com o > email anterior da lista? > Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no programa dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat para 192.168.10.2. O nat pode estar causando essa lentidão? > 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é > executado > o link sobe? Um flush do ipfw limpa todos os estados, o que derruba > as conexões. O IP é fixo e o script faz um ipfw -f flush antes de carregar as regras. Até pensei na hora que a conexão com a base havia caído no momento em que rodei o script mas mesmo sem rodar o script a conexão cai. :( será que pode ter à ver com o polling como coloquei num e-mail anterior? Também vou fazer o teste de retirar todo o Firewall e deixar só o NAT para ver se a performance normaliza e as conexões ficam estáveis. > > 3- Já pensou em usar o PF no lugar do IPFW? > Poderia até usar mas achei estranho o que aconteceu e acredito que seja alguma falha na minha configuração e não no ipfw em si. De qualquer forma pretendo estudar o pf como outra alternativa à firewall. :) > Att, > > Rodrigo Mosconi > >> - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o
Opa fazendo testes aqui em casa já descobri o problema da queda de conexão que pode resolver tanto o problema do putty quanto do PostgreSQL. O problema está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como stateless a saída e a entrada da comunicação dessa forma fazendo uma regra como abaixo resolveu o problema das quedas e quem sabe também poderá resolver o problema da performance. :) ipfw add divert 8668 all from any to any out via re0 keep-state Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse um time-out Assim que tiver feito os outros testes avisarei aqui. :) -- From: "Marcelo Gondim" Sent: Tuesday, October 12, 2010 10:38 PM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > Oi Rodrigo, > > -- > From: "Rodrigo Mosconi" > Sent: Tuesday, October 12, 2010 2:22 PM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > >> Marcelo, >> >> Em 12 de outubro de 2010 01:18, Marcelo Gondim >> escreveu: >>> Olá pessoal, >>> >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os >>> acessos >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas >>> estranhas >>> e >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem >>> com >>> FreeBSD. :) >>> >>> A configuração básica é essa: >>> >>> Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em >>> Delphi) >>> | >>> | >>> | >>> Servidor PostgreSQL >>> >>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para >>> a >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o >>> CentOS >>> e a aplicação voltou ao normal e sua velocidade. >>> >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação >>> conectada >>> na base e depois de um tempo sem fazer nada no sistema, quando ele vai >>> fazer >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se >>> a >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o >>> putty, >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um >>> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o >>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a >>> conexão >>> ssh caiu no putty. >>> >>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade >>> estaria >>> relacionada à algum tunning e se essas quedas na conexão tcp por >>> time-out >>> tem algum ajuste também? >>> >>> []´s a todos e agradeço desde já qualquer luz :) >> >> 1- Há nat entre os clientes e a base PG? É um cenário parecido com o >> email anterior da lista? >> > > Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no > programa > dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat para > 192.168.10.2. > O nat pode estar causando essa lentidão? > >> 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é >> executado >> o link sobe? Um flush do ipfw limpa todos os estados, o que derruba >> as conexões. > > O IP é fixo e o script faz um ipfw -f flush antes de carregar as regras. > Até > pensei na hora que a conexão com a base havia caído no momento em que > rodei > o script mas mesmo sem rodar o script a conexão cai. :( será que pode > ter > à ver com o polling como coloquei num e-mail anterior? Também vou fazer o > teste de retirar todo o Firewall e deixar só o NAT para ver se a > performance > normaliza e as conexões ficam estáveis. > >> >> 3- Já pensou em usar o PF no lugar do IPFW? >> > > Poderia até usar mas achei estranho o que aconteceu e acredito que seja > alguma falha na minha configuração e não no ipfw em si. De qualquer forma > pretendo estudar o pf como outra alternativa à firewall. :) > >> Att, >> >> Rodrigo Mosconi >> >>> > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o
Tambem tive um problema parecido, e também eram regras erradas no NATD. On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: > Opa fazendo testes aqui em casa já descobri o problema da queda de conexão > que pode resolver tanto o problema do putty quanto do PostgreSQL. O problema > está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como > stateless a saída e a entrada da comunicação dessa forma fazendo uma regra > como abaixo resolveu o problema das quedas e quem sabe também poderá > resolver o problema da performance. :) > > ipfw add divert 8668 all from any to any out via re0 keep-state > > Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse > um time-out > > Assim que tiver feito os outros testes avisarei aqui. :) > > -- > From: "Marcelo Gondim" > Sent: Tuesday, October 12, 2010 10:38 PM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > > Oi Rodrigo, > > > > -- > > From: "Rodrigo Mosconi" > > Sent: Tuesday, October 12, 2010 2:22 PM > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > > >> Marcelo, > >> > >> Em 12 de outubro de 2010 01:18, Marcelo Gondim > >> escreveu: > >>> Olá pessoal, > >>> > >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 5.5 > >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras > >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os > >>> acessos > >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas > >>> estranhas > >>> e > >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem > >>> com > >>> FreeBSD. :) > >>> > >>> A configuração básica é essa: > >>> > >>> Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação em > >>> Delphi) > >>> | > >>> | > >>> | > >>> Servidor PostgreSQL > >>> > >>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele para > >>> a > >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não estou > >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o > >>> CentOS > >>> e a aplicação voltou ao normal e sua velocidade. > >>> > >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação > >>> conectada > >>> na base e depois de um tempo sem fazer nada no sistema, quando ele vai > >>> fazer > >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como se > >>> a > >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o > >>> putty, > >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar um > >>> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz o > >>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a > >>> conexão > >>> ssh caiu no putty. > >>> > >>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade > >>> estaria > >>> relacionada à algum tunning e se essas quedas na conexão tcp por > >>> time-out > >>> tem algum ajuste também? > >>> > >>> []´s a todos e agradeço desde já qualquer luz :) > >> > >> 1- Há nat entre os clientes e a base PG? É um cenário parecido com o > >> email anterior da lista? > >> > > > > Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no > > programa > > dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat para > > 192.168.10.2. > > O nat pode estar causando essa lentidão? > > > >> 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é > >> executado > >> o link sobe? Um flush do ipfw limpa todos os estados, o que derruba > >> as conexões. > > > > O IP é fixo e o script faz um ipfw -f flush antes de carregar as regras. > > Até > > pensei na hora que a conexão com a base havia caído no momento em que > > rodei > > o script mas mesmo sem rodar o script a conexão cai. :( será que pode > > ter > > à ver com o polling como coloquei num e-mail anterior? Também vou fazer o > > teste de retirar todo o Firewall e deixar só o NAT para ver se a > > performance > > normaliza e as conexões ficam estáveis. > > > >> > >> 3- Já pensou em usar o PF no lugar do IPFW? > >> > > > > Poderia até usar mas achei estranho o que aconteceu e acredito que seja > > alguma falha na minha configuração e não no ipfw em si. De qualquer forma > > pretendo estudar o pf como outra alternativa à firewall. :) > > > >> Att, > >> > >> Rodrigo Mosconi > >> > >>> > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.
Re: [FUG-BR] Performance estranha e quedas na conexã o
Eu resolvi fazendo assim: ipfw add divert 8668 all from to any via ipfw add divert 8668 all from any to me via On Wed, 2010-10-13 at 09:33 -0300, Renato Frederick wrote: > Precisa fazer o divert "from any to any"? > > O ideal seria 2 regras, uma para out, outra para in e especificando > endereços de origem/destino. > > Outra dúvida, os clientes internos precisam sair com nat pro pgsql? > > talvez reescrever a regra seja interessante, até para economia de > cpu/memória(já que um divert all from any to any empurra pro natd tudo que > passe pelo firewall e venha de ip´s reservados). > > []s > > > > > > -Mensagem Original- > From: Antonio Modesto > Sent: Wednesday, October 13, 2010 8:49 AM > To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > Tambem tive um problema parecido, e também eram regras erradas no NATD. > > On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: > > > Opa fazendo testes aqui em casa já descobri o problema da queda de conexão > > que pode resolver tanto o problema do putty quanto do PostgreSQL. O > > problema > > está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como > > stateless a saída e a entrada da comunicação dessa forma fazendo uma regra > > como abaixo resolveu o problema das quedas e quem sabe também poderá > > resolver o problema da performance. :) > > > > ipfw add divert 8668 all from any to any out via re0 keep-state > > > > Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse > > um time-out > > > > Assim que tiver feito os outros testes avisarei aqui. :) > > > > -- > > From: "Marcelo Gondim" > > Sent: Tuesday, October 12, 2010 10:38 PM > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > > > > Oi Rodrigo, > > > > > > -- > > > From: "Rodrigo Mosconi" > > > Sent: Tuesday, October 12, 2010 2:22 PM > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > > > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > > > > > >> Marcelo, > > >> > > >> Em 12 de outubro de 2010 01:18, Marcelo Gondim > > >> escreveu: > > >>> Olá pessoal, > > >>> > > >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS > > >>> 5.5 > > >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras > > >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os > > >>> acessos > > >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas > > >>> estranhas > > >>> e > > >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem > > >>> com > > >>> FreeBSD. :) > > >>> > > >>> A configuração básica é essa: > > >>> > > >>> Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação > > >>> em > > >>> Delphi) > > >>> | > > >>> | > > >>> | > > >>> Servidor PostgreSQL > > >>> > > >>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele > > >>> para > > >>> a > > >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não > > >>> estou > > >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o > > >>> CentOS > > >>> e a aplicação voltou ao normal e sua velocidade. > > >>> > > >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação > > >>> conectada > > >>> na base e depois de um tempo sem fazer nada no sistema, quando ele vai > > >>> fazer > > >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como > > >>> se > > >>> a > > >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o > > >>> putty, > > >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar > > >>> um > > >>> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz > > >>> o > > >>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a > > >>> conexão > > >>> ssh caiu no putty. > > >>> > > >>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade > > >>> estaria > > >>> relacionada à algum tunning e se essas quedas na conexão tcp por > > >>> time-out > > >>> tem algum ajuste também? > > >>> > > >>> []´s a todos e agradeço desde já qualquer luz :) > > >> > > >> 1- Há nat entre os clientes e a base PG? É um cenário parecido com o > > >> email anterior da lista? > > >> > > > > > > Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no > > > programa > > > dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat para > > > 192.168.10.2. > > > O nat pode estar causando essa lentidão? > > > > > >> 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é > > >> executado > > >> o link sobe? Um f
Re: [FUG-BR] Performance estranha e quedas na conexã o
Pode sim De fato, é possível usar os 3 filtros juntos (IPF, PF, e IPFW). Mas basta um block/deny num deles para negar a comunicação. Nada te impede de usar o nat do PF, em conjunto com os filtros do IPFW. É possível usar o filtro e nat do PF, por exemplo, em conjunto dos recursos avançados do IPFW (jail, user,...). Em 13 de outubro de 2010 11:55, Marcelo Gondim escreveu: > Opa Alessandro, > > Eu poderia em um primeiro momento usar apenas o NAT do pf junto com as > regras de filtragem do ipfw? Ou teria que fazer todas as regras no pf mesmo? > > []´s > > -- > From: "Alessandro de Souza Rocha" > Sent: Wednesday, October 13, 2010 9:56 AM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > >> porque vc nao usa o pf pra fazer nat ao inveis de usa natd. >> >> Em 13 de outubro de 2010 09:33, Renato Frederick >> escreveu: >>> Precisa fazer o divert "from any to any"? >>> >>> O ideal seria 2 regras, uma para out, outra para in e especificando >>> endereços de origem/destino. >>> >>> Outra dúvida, os clientes internos precisam sair com nat pro pgsql? >>> >>> talvez reescrever a regra seja interessante, até para economia de >>> cpu/memória(já que um divert all from any to any empurra pro natd tudo >>> que >>> passe pelo firewall e venha de ip´s reservados). >>> >>> []s >>> >>> >>> >>> >>> >>> -Mensagem Original- >>> From: Antonio Modesto >>> Sent: Wednesday, October 13, 2010 8:49 AM >>> To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) >>> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão >>> >>> Tambem tive um problema parecido, e também eram regras erradas no NATD. >>> >>> On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: >>> Opa fazendo testes aqui em casa já descobri o problema da queda de conexão que pode resolver tanto o problema do putty quanto do PostgreSQL. O problema está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como stateless a saída e a entrada da comunicação dessa forma fazendo uma regra como abaixo resolveu o problema das quedas e quem sabe também poderá resolver o problema da performance. :) ipfw add divert 8668 all from any to any out via re0 keep-state Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse um time-out Assim que tiver feito os outros testes avisarei aqui. :) -- From: "Marcelo Gondim" Sent: Tuesday, October 12, 2010 10:38 PM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > Oi Rodrigo, > > -- > From: "Rodrigo Mosconi" > Sent: Tuesday, October 12, 2010 2:22 PM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > >> Marcelo, >> >> Em 12 de outubro de 2010 01:18, Marcelo Gondim >> escreveu: >>> Olá pessoal, >>> >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS >>> 5.5 >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os >>> acessos >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas >>> estranhas >>> e >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e >>> bagagem >>> com >>> FreeBSD. :) >>> >>> A configuração básica é essa: >>> >>> Internet <-> Firewall FreeBSD <-> rede do cliente (Aplicação >>> em >>> Delphi) >>> | >>> | >>> | >>> Servidor PostgreSQL >>> >>> 1) Primeira coisa que aconteceu, o acesso da aplicação Delphi dele >>> para >>> a >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não >>> estou >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o >>> CentOS >>> e a aplicação voltou ao normal e sua velocidade. >>> >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação >>> conectada >>> na base e depois de um tempo sem fazer nada no sistema, quando ele >>> vai >>> fazer >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como >>> se >>> a >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o >>> putty, >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu >>> ficar >>> um >>> tempo com o putty parado, sem digitar
Re: [FUG-BR] Performance estranha e quedas na conexã o
Gente PELAMORDEDEUS... o problema estava na implementacao e nao na solucao. Sempre que alguem tem duvida com o IPFW alguem vem e responde: use pf Getne, vamos focar no problema. Senao logo logo vamos virar lista linuxers-like. m,3 Em 13 de outubro de 2010 14:34, Alessandro de Souza Rocha escreveu: > Eu uso pf para nat e rdr de portas, ipfw para controle de banda e > proxy transparent. > > Em 13 de outubro de 2010 13:41, Renato Frederick > escreveu: >> acredito que o problema dele era o divert any to any... fazendo regra >> mais específica resolveu, certo? :) >> >> Eu costumo usar o PF e o IPFW, o segundo pra fazer proxy transparente + >> TPROXY >> >> Em 13/10/10 12:28, Rodrigo Mosconi escreveu: >>> Pode sim >>> >>> De fato, é possível usar os 3 filtros juntos (IPF, PF, e IPFW). Mas >>> basta um block/deny num deles para negar a comunicação. >>> >>> Nada te impede de usar o nat do PF, em conjunto com os filtros do IPFW. >>> >>> É possível usar o filtro e nat do PF, por exemplo, em conjunto dos >>> recursos avançados do IPFW (jail, user,...). >>> >>> Em 13 de outubro de 2010 11:55, Marcelo Gondim >>> escreveu: Opa Alessandro, Eu poderia em um primeiro momento usar apenas o NAT do pf junto com as regras de filtragem do ipfw? Ou teria que fazer todas as regras no pf mesmo? []´s -- From: "Alessandro de Souza Rocha" Sent: Wednesday, October 13, 2010 9:56 AM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > porque vc nao usa o pf pra fazer nat ao inveis de usa natd. > > Em 13 de outubro de 2010 09:33, Renato Frederick > escreveu: >> Precisa fazer o divert "from any to any"? >> >> O ideal seria 2 regras, uma para out, outra para in e especificando >> endereços de origem/destino. >> >> Outra dúvida, os clientes internos precisam sair com nat pro pgsql? >> >> talvez reescrever a regra seja interessante, até para economia de >> cpu/memória(já que um divert all from any to any empurra pro natd tudo >> que >> passe pelo firewall e venha de ip´s reservados). >> >> []s >> >> >> >> >> >> -Mensagem Original- >> From: Antonio Modesto >> Sent: Wednesday, October 13, 2010 8:49 AM >> To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) >> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão >> >> Tambem tive um problema parecido, e também eram regras erradas no NATD. >> >> On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: >> >>> Opa fazendo testes aqui em casa já descobri o problema da queda de >>> conexão >>> que pode resolver tanto o problema do putty quanto do PostgreSQL. O >>> problema >>> está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como >>> stateless a saída e a entrada da comunicação dessa forma fazendo uma >>> regra >>> como abaixo resolveu o problema das quedas e quem sabe também poderá >>> resolver o problema da performance. :) >>> >>> ipfw add divert 8668 all from any to any out via re0 keep-state >>> >>> Dessa forma a conexão com o putty se manteve e não caiu mais como se >>> fosse >>> um time-out >>> >>> Assim que tiver feito os outros testes avisarei aqui. :) >>> >>> -- >>> From: "Marcelo Gondim" >>> Sent: Tuesday, October 12, 2010 10:38 PM >>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >>> >>> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão >>> Oi Rodrigo, -- From: "Rodrigo Mosconi" Sent: Tuesday, October 12, 2010 2:22 PM To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > Marcelo, > > Em 12 de outubro de 2010 01:18, Marcelo Gondim > escreveu: >> Olá pessoal, >> >> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS >> 5.5 >> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras >> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os >> acessos >> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas >> estranhas >> e >> vim aqui recorrer à experiência de vocês, que tem mais tempo e >> bagagem >> com >> FreeBSD. :) >> >> A configuração básica é essa: >> >> Internet<-> Firewall FreeBSD<-> rede do cliente (Aplicação >> em >> Delphi) >> | >>
Re: [FUG-BR] Performance estranha e quedas na conexã o
Sim Marcelo, corretissimo, se vc olhar no historico da thread, foi uma das primeiras coisas que perguntei sobre o seu cenario: se tinha nat entre eles. Vc fez o certo, focou na solucao do problema, e nao no problema. por isso conseguiu resolver. O que pega é que sempre que alguem posta algum problema/duvida ao inves de dar sugestoes sobre os mesmos, a primeira coisa que aparece sao sugestoes do tipo, muda pra isso, muda praquilo, etc.. etc... E isso eu nao aceito, sou radical mesmo e ponto final. Desabafado m3 Em 14 de outubro de 2010 13:17, Marcelo Gondim escreveu: > Opa Mario, > > Com certeza meu problema estava na implementação mesmo, pude comprovar com > algumas alterações que fiz aqui em meu ambiente de testes. Mas no final > achei mais tranquila de fazer essa implementação usando o ipfw que gosto > muito dos recursos dele com a praticidade de se fazer NAT usando o pf. Foi > bom até para experiência de se usar ferramentas de Firewall diferentes. :D > > Mais uma vez agradeço a ajuda e dicas de todos aqui da lista. > > -- > From: "Mario Augusto Mania" > Sent: Thursday, October 14, 2010 1:02 PM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão > >> Gente PELAMORDEDEUS... o problema estava na implementacao e nao na >> solucao. >> Sempre que alguem tem duvida com o IPFW alguem vem e responde: use pf >> Getne, vamos focar no problema. Senao logo logo vamos virar lista >> linuxers-like. >> >> m,3 >> >> Em 13 de outubro de 2010 14:34, Alessandro de Souza Rocha >> escreveu: >>> Eu uso pf para nat e rdr de portas, ipfw para controle de banda e >>> proxy transparent. >>> >>> Em 13 de outubro de 2010 13:41, Renato Frederick >>> escreveu: acredito que o problema dele era o divert any to any... fazendo regra mais específica resolveu, certo? :) Eu costumo usar o PF e o IPFW, o segundo pra fazer proxy transparente + TPROXY Em 13/10/10 12:28, Rodrigo Mosconi escreveu: > Pode sim > > De fato, é possível usar os 3 filtros juntos (IPF, PF, e IPFW). Mas > basta um block/deny num deles para negar a comunicação. > > Nada te impede de usar o nat do PF, em conjunto com os filtros do IPFW. > > É possível usar o filtro e nat do PF, por exemplo, em conjunto dos > recursos avançados do IPFW (jail, user,...). > > Em 13 de outubro de 2010 11:55, Marcelo Gondim > escreveu: >> Opa Alessandro, >> >> Eu poderia em um primeiro momento usar apenas o NAT do pf junto com as >> regras de filtragem do ipfw? Ou teria que fazer todas as regras no pf >> mesmo? >> >> []´s >> >> -- >> From: "Alessandro de Souza Rocha" >> Sent: Wednesday, October 13, 2010 9:56 AM >> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >> >> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão >> >>> porque vc nao usa o pf pra fazer nat ao inveis de usa natd. >>> >>> Em 13 de outubro de 2010 09:33, Renato Frederick >>> escreveu: Precisa fazer o divert "from any to any"? O ideal seria 2 regras, uma para out, outra para in e especificando endereços de origem/destino. Outra dúvida, os clientes internos precisam sair com nat pro pgsql? talvez reescrever a regra seja interessante, até para economia de cpu/memória(já que um divert all from any to any empurra pro natd tudo que passe pelo firewall e venha de ip´s reservados). []s -Mensagem Original- From: Antonio Modesto Sent: Wednesday, October 13, 2010 8:49 AM To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Tambem tive um problema parecido, e também eram regras erradas no NATD. On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: > Opa fazendo testes aqui em casa já descobri o problema da queda de > conexão > que pode resolver tanto o problema do putty quanto do PostgreSQL. O > problema > está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia > como > stateless a saída e a entrada da comunicação dessa forma fazendo > uma > regra > como abaixo resolveu o problema das quedas e quem sabe também > poderá > resolver o problema da performance. :) > > ipfw add divert 8668 all from any to any out via re0 keep-state > > Dessa forma a conexão com o putty se manteve e não caiu mais como > se > fosse > um time-out > > Assim que tiver feito os outros testes
Re: [FUG-BR] Performance estranha e quedas na conexã o [resolvido]
Mario, /usr/sbin/ftp-proxy -p 21 -b IP.VALIDO -R 192.168.x.x -D 3 no pf costumo colocar: no rdr on $pub_if inet proto tcp to IP.VALIDO port ftp prá garantir que caso tenha alguma regra de rdr no pf, não impacte no ftp-proxy. o exemplo acima Em 15/10/10 20:04, Mario Lobo escreveu: > On Wednesday 13 October 2010 22:31:57 Renato Frederick wrote: >> Tem que usar ftp-proxy sempre, tanto para conexoes de saida(cliente >> interno sofrendo nat -> internet) quanto pra conexoes de entrada(alguem >> na internet acessando um ftp seu). > > Como seria essa regra do ftp-proxy para redirecionar para um servidor interno? > > Colocando como o Marcelo falou > > rdr-anchor "ftp-proxy/*" > rdr pass proto tcp from any to any port ftp -> 127.0.0.1 port 8021 > > de dentro pra fora, beleza. Mas e de fora pra dentro? como faço pra o > ftp-proxy saber para que servidor mandar? > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexã o [resolvido]
On Friday 15 October 2010 20:25:46 Renato Frederick wrote: > Mario, > > /usr/sbin/ftp-proxy -p 21 -b IP.VALIDO -R 192.168.x.x -D 3 > > > no pf costumo colocar: > > no rdr on $pub_if inet proto tcp to IP.VALIDO port ftp > > prá garantir que caso tenha alguma regra de rdr no pf, não impacte no > ftp-proxy. > > o exemplo acima > Renato Primeiramente, obrigado pela atenção. O meu ftp-proxy ta rodando assim: /usr/sbin/ftp-proxy -r -v -T ftp_proxy O -T é um patch que eu criei pro ftp-proxy para que ele acrescente um tag nas anchors do ftp-proxy pra facilitar o envio dos pacotes pras filas. Ele esta escutando em localhost. Eu quero que o ftp-proxy seja usado tanto de dentro pra fora, assim como de fora para o nosso servidor de ftp interno. Tenho 3 redes internas e o meu pf.conf ta assim: # ftp tudo pro ftp-proxy rdr-anchor "ftp-proxy/*" rdr on $aln_if inet proto tcp to port ftp -> lo0 port 8021 rdr on $lab_if inet proto tcp to port ftp -> lo0 port 8021 rdr on $prm_if inet proto tcp to port ftp -> lo0 port 8021 # ftp MIC rdr on $ext_if inet proto tcp to port 21 -> $srvmic2008 port 21 As regras de pass estão mais abaixo para um melhor controle de envio para as filas. Do jeito que esta, das redes internas pra fora funciona tudo pelo ftp-proxy certinho, indo pras filas certinho tambem. De fora pro ftp MIC, eu me conecto mas não consigo fazer mais nada. Eu queria que os pacotes para o ftp MIC passassem pelo ftp-proxy tambem. Qual seria forma correta de fazer isso, mantendo o ftp-proxy em localhost, e mantendo a minha linha de comando do ftp-proxy? Se eu acrescentar apenas o -R $ftpMIC na minha linha de comando, tudo que é pedido pra qualquer ftp, seja dentro->fora ou fora->dentro vai pro $ftpMIC certo? -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since 2.2.8 [not Pro-Audio YET!!] (99% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
