Re: [FUG-BR] Performance estranha e quedas na conexão [resolvido]
Pessoal fiz a migração aqui no cliente. Funcionou perfeitamente agora!!! Rápido e sem quedas. A solução regras em ipfw + nat no pf ficou show de bola mesmo. :) PostgreSQL não apresenta mais lentidões e nem perdas de conexão com o software cliente. A única mensagem que as vezes aparece nos logs e console é essa aqui: ipfw: ipfw_install_state: entry already present, done É normal essa mensagem? :D []´s a todos -- From: Renato Frederick ren...@frederick.eti.br Sent: Wednesday, October 13, 2010 10:31 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR] Performance estranha e quedas na conexão [resolvido] Tem que usar ftp-proxy sempre, tanto para conexoes de saida(cliente interno sofrendo nat - internet) quanto pra conexoes de entrada(alguem na internet acessando um ftp seu). A exceção é se fizer um nat 1:1 Dà uma olhada depois pra vc migrar as regras de firewall pra pf, não é tão complicado e simplifica usando 1 ferramenta só. ou, você pode também rever o natd do ipfw, no site da fug[1] tem um howto bem bacana, só ignore a parte de IPFW2(era pra versão antiga do Free que ainda usava IPFW1, a versão 2 foi incorporada a tempos). De qualquer maneira, é sempre bom ter noção de ferramentas de firewall, hoje mesmo tive que quebrar um galho com iptables :-P [1] http://www.fug.com.br/content/view/37/77/ Em 13/10/10 22:15, Marcelo Gondim escreveu: Pessoal fiz uns testes aqui e parece que era mesmo o nat do divert mal configurado mesmo rsrsrs Como o que eu queria fazer estava bem confuso usando o divert, resolvi seguir o conselho de alguns de vocês e usar o nat do PF. :) Nesse caso fiz o misto de nat usando o pf e as regras de filtragem usando o ipfw. os problemas que testei aqui no meu ambiente de testes se foram e tudo funcionou normalmente. :D Ficou uma dúvida apenas e só vou conseguir testar mesmo lá do cliente que é a seguinte: com relação ao FTP eu agora uso o ftp-proxy e nas regras do pf.conf eu adiciono: nat-anchor ftp-proxy/* nat on tun0 from 192.168.10.0/24 to any - (tun0) rdr-anchor ftp-proxy/* rdr pass proto tcp from any to any port ftp - 127.0.0.1 port 8021 Dessa maneira o ftp funcionou perfeitamente mas se eu tivesse que usar a regra binat, que vou ter que usar no cliente, para associar os IPs públicos aos não públicos da rede de servidores... o ftp funcionaria normalmente sem precisar do ftp-proxy ou teria que fazer algo complementar? Porque eu posso precisar fazer um ftp de um servidor para a Internet. Resumindo: no binat o ftp funciona sem precisar do ftp-proxy? []´s a todos e agradeço muito pela ajuda e idéias que foram me passadas aqui. :D -- From: Alessandro de Souza Rochaetherlin...@gmail.com Sent: Wednesday, October 13, 2010 2:34 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Eu uso pf para nat e rdr de portas, ipfw para controle de banda e proxy transparent. Em 13 de outubro de 2010 13:41, Renato Frederick ren...@frederick.eti.br escreveu: acredito que o problema dele era o divert any to any... fazendo regra mais específica resolveu, certo? :) Eu costumo usar o PF e o IPFW, o segundo pra fazer proxy transparente + TPROXY Em 13/10/10 12:28, Rodrigo Mosconi escreveu: Pode sim De fato, é possível usar os 3 filtros juntos (IPF, PF, e IPFW). Mas basta um block/deny num deles para negar a comunicação. Nada te impede de usar o nat do PF, em conjunto com os filtros do IPFW. É possível usar o filtro e nat do PF, por exemplo, em conjunto dos recursos avançados do IPFW (jail, user,...). Em 13 de outubro de 2010 11:55, Marcelo Gondim gon...@linuxinfo.com.br escreveu: Opa Alessandro, Eu poderia em um primeiro momento usar apenas o NAT do pf junto com as regras de filtragem do ipfw? Ou teria que fazer todas as regras no pf mesmo? []´s -- From: Alessandro de Souza Rochaetherlin...@gmail.com Sent: Wednesday, October 13, 2010 9:56 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão porque vc nao usa o pf pra fazer nat ao inveis de usa natd. Em 13 de outubro de 2010 09:33, Renato Frederick ren...@frederick.eti.br escreveu: Precisa fazer o divert from any to any? O ideal seria 2 regras, uma para out, outra para in e especificando endereços de origem/destino. Outra dúvida, os clientes internos precisam sair com nat pro pgsql? talvez reescrever a regra seja interessante, até para economia de cpu/memória(já que um divert all from any to any empurra pro natd tudo que passe pelo firewall e venha de ip´s reservados). []s -Mensagem Original- From: Antonio Modesto Sent: Wednesday, October 13
Re: [FUG-BR] Performance estranha e quedas na conexão [resolvido]
On Wednesday 13 October 2010 22:31:57 Renato Frederick wrote: Tem que usar ftp-proxy sempre, tanto para conexoes de saida(cliente interno sofrendo nat - internet) quanto pra conexoes de entrada(alguem na internet acessando um ftp seu). Como seria essa regra do ftp-proxy para redirecionar para um servidor interno? Colocando como o Marcelo falou rdr-anchor ftp-proxy/* rdr pass proto tcp from any to any port ftp - 127.0.0.1 port 8021 de dentro pra fora, beleza. Mas e de fora pra dentro? como faço pra o ftp-proxy saber para que servidor mandar? -- Mario Lobo http://www.mallavoodoo.com.br FreeBSD since 2.2.8 [not Pro-Audio YET!!] (99% winfoes FREE) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Performance estranha e quedas na conexão [resolvido]
Pessoal fiz uns testes aqui e parece que era mesmo o nat do divert mal configurado mesmo rsrsrs Como o que eu queria fazer estava bem confuso usando o divert, resolvi seguir o conselho de alguns de vocês e usar o nat do PF. :) Nesse caso fiz o misto de nat usando o pf e as regras de filtragem usando o ipfw. os problemas que testei aqui no meu ambiente de testes se foram e tudo funcionou normalmente. :D Ficou uma dúvida apenas e só vou conseguir testar mesmo lá do cliente que é a seguinte: com relação ao FTP eu agora uso o ftp-proxy e nas regras do pf.conf eu adiciono: nat-anchor ftp-proxy/* nat on tun0 from 192.168.10.0/24 to any - (tun0) rdr-anchor ftp-proxy/* rdr pass proto tcp from any to any port ftp - 127.0.0.1 port 8021 Dessa maneira o ftp funcionou perfeitamente mas se eu tivesse que usar a regra binat, que vou ter que usar no cliente, para associar os IPs públicos aos não públicos da rede de servidores... o ftp funcionaria normalmente sem precisar do ftp-proxy ou teria que fazer algo complementar? Porque eu posso precisar fazer um ftp de um servidor para a Internet. Resumindo: no binat o ftp funciona sem precisar do ftp-proxy? []´s a todos e agradeço muito pela ajuda e idéias que foram me passadas aqui. :D -- From: Alessandro de Souza Rocha etherlin...@gmail.com Sent: Wednesday, October 13, 2010 2:34 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Eu uso pf para nat e rdr de portas, ipfw para controle de banda e proxy transparent. Em 13 de outubro de 2010 13:41, Renato Frederick ren...@frederick.eti.br escreveu: acredito que o problema dele era o divert any to any... fazendo regra mais específica resolveu, certo? :) Eu costumo usar o PF e o IPFW, o segundo pra fazer proxy transparente + TPROXY Em 13/10/10 12:28, Rodrigo Mosconi escreveu: Pode sim De fato, é possível usar os 3 filtros juntos (IPF, PF, e IPFW). Mas basta um block/deny num deles para negar a comunicação. Nada te impede de usar o nat do PF, em conjunto com os filtros do IPFW. É possível usar o filtro e nat do PF, por exemplo, em conjunto dos recursos avançados do IPFW (jail, user,...). Em 13 de outubro de 2010 11:55, Marcelo Gondim gon...@linuxinfo.com.br escreveu: Opa Alessandro, Eu poderia em um primeiro momento usar apenas o NAT do pf junto com as regras de filtragem do ipfw? Ou teria que fazer todas as regras no pf mesmo? []´s -- From: Alessandro de Souza Rochaetherlin...@gmail.com Sent: Wednesday, October 13, 2010 9:56 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão porque vc nao usa o pf pra fazer nat ao inveis de usa natd. Em 13 de outubro de 2010 09:33, Renato Frederick ren...@frederick.eti.br escreveu: Precisa fazer o divert from any to any? O ideal seria 2 regras, uma para out, outra para in e especificando endereços de origem/destino. Outra dúvida, os clientes internos precisam sair com nat pro pgsql? talvez reescrever a regra seja interessante, até para economia de cpu/memória(já que um divert all from any to any empurra pro natd tudo que passe pelo firewall e venha de ip´s reservados). []s -Mensagem Original- From: Antonio Modesto Sent: Wednesday, October 13, 2010 8:49 AM To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Tambem tive um problema parecido, e também eram regras erradas no NATD. On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: Opa fazendo testes aqui em casa já descobri o problema da queda de conexão que pode resolver tanto o problema do putty quanto do PostgreSQL. O problema está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como stateless a saída e a entrada da comunicação dessa forma fazendo uma regra como abaixo resolveu o problema das quedas e quem sabe também poderá resolver o problema da performance. :) ipfw add divert 8668 all from any to any out via re0 keep-state Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse um time-out Assim que tiver feito os outros testes avisarei aqui. :) -- From: Marcelo Gondimgon...@linuxinfo.com.br Sent: Tuesday, October 12, 2010 10:38 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Oi Rodrigo, -- From: Rodrigo Mosconifree...@mosconi.mat.br Sent: Tuesday, October 12, 2010 2:22 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Marcelo, Em 12 de outubro de 2010
Re: [FUG-BR] Performance estranha e quedas na conexão [resolvido]
Tem que usar ftp-proxy sempre, tanto para conexoes de saida(cliente interno sofrendo nat - internet) quanto pra conexoes de entrada(alguem na internet acessando um ftp seu). A exceção é se fizer um nat 1:1 Dà uma olhada depois pra vc migrar as regras de firewall pra pf, não é tão complicado e simplifica usando 1 ferramenta só. ou, você pode também rever o natd do ipfw, no site da fug[1] tem um howto bem bacana, só ignore a parte de IPFW2(era pra versão antiga do Free que ainda usava IPFW1, a versão 2 foi incorporada a tempos). De qualquer maneira, é sempre bom ter noção de ferramentas de firewall, hoje mesmo tive que quebrar um galho com iptables :-P [1] http://www.fug.com.br/content/view/37/77/ Em 13/10/10 22:15, Marcelo Gondim escreveu: Pessoal fiz uns testes aqui e parece que era mesmo o nat do divert mal configurado mesmo rsrsrs Como o que eu queria fazer estava bem confuso usando o divert, resolvi seguir o conselho de alguns de vocês e usar o nat do PF. :) Nesse caso fiz o misto de nat usando o pf e as regras de filtragem usando o ipfw. os problemas que testei aqui no meu ambiente de testes se foram e tudo funcionou normalmente. :D Ficou uma dúvida apenas e só vou conseguir testar mesmo lá do cliente que é a seguinte: com relação ao FTP eu agora uso o ftp-proxy e nas regras do pf.conf eu adiciono: nat-anchor ftp-proxy/* nat on tun0 from 192.168.10.0/24 to any - (tun0) rdr-anchor ftp-proxy/* rdr pass proto tcp from any to any port ftp - 127.0.0.1 port 8021 Dessa maneira o ftp funcionou perfeitamente mas se eu tivesse que usar a regra binat, que vou ter que usar no cliente, para associar os IPs públicos aos não públicos da rede de servidores... o ftp funcionaria normalmente sem precisar do ftp-proxy ou teria que fazer algo complementar? Porque eu posso precisar fazer um ftp de um servidor para a Internet. Resumindo: no binat o ftp funciona sem precisar do ftp-proxy? []´s a todos e agradeço muito pela ajuda e idéias que foram me passadas aqui. :D -- From: Alessandro de Souza Rochaetherlin...@gmail.com Sent: Wednesday, October 13, 2010 2:34 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Eu uso pf para nat e rdr de portas, ipfw para controle de banda e proxy transparent. Em 13 de outubro de 2010 13:41, Renato Frederick ren...@frederick.eti.br escreveu: acredito que o problema dele era o divert any to any... fazendo regra mais específica resolveu, certo? :) Eu costumo usar o PF e o IPFW, o segundo pra fazer proxy transparente + TPROXY Em 13/10/10 12:28, Rodrigo Mosconi escreveu: Pode sim De fato, é possível usar os 3 filtros juntos (IPF, PF, e IPFW). Mas basta um block/deny num deles para negar a comunicação. Nada te impede de usar o nat do PF, em conjunto com os filtros do IPFW. É possível usar o filtro e nat do PF, por exemplo, em conjunto dos recursos avançados do IPFW (jail, user,...). Em 13 de outubro de 2010 11:55, Marcelo Gondim gon...@linuxinfo.com.br escreveu: Opa Alessandro, Eu poderia em um primeiro momento usar apenas o NAT do pf junto com as regras de filtragem do ipfw? Ou teria que fazer todas as regras no pf mesmo? []´s -- From: Alessandro de Souza Rochaetherlin...@gmail.com Sent: Wednesday, October 13, 2010 9:56 AM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Subject: Re: [FUG-BR]Performance estranha e quedas na conexão porque vc nao usa o pf pra fazer nat ao inveis de usa natd. Em 13 de outubro de 2010 09:33, Renato Frederick ren...@frederick.eti.br escreveu: Precisa fazer o divert from any to any? O ideal seria 2 regras, uma para out, outra para in e especificando endereços de origem/destino. Outra dúvida, os clientes internos precisam sair com nat pro pgsql? talvez reescrever a regra seja interessante, até para economia de cpu/memória(já que um divert all from any to any empurra pro natd tudo que passe pelo firewall e venha de ip´s reservados). []s -Mensagem Original- From: Antonio Modesto Sent: Wednesday, October 13, 2010 8:49 AM To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR]Performance estranha e quedas na conexão Tambem tive um problema parecido, e também eram regras erradas no NATD. On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote: Opa fazendo testes aqui em casa já descobri o problema da queda de conexão que pode resolver tanto o problema do putty quanto do PostgreSQL. O problema está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como stateless a saída e a entrada da comunicação dessa forma fazendo uma regra como abaixo resolveu o problema das quedas e quem sabe também poderá resolver o problema da performance. :) ipfw add divert 8668 all from any to any out via