Performance: Firewall/Proxy
:roll:
Olá Pessoal do Fórum.
Estou tendo um probleminha de performance em meu firewall/proxy.
Bem, na verdade não chega a ser problema na performance, mas notei que apartir do momento que colocamos um firewall rodando, mesmo estando bem enxuto em suas regras, a performance da rede(internet) caiu um pouco. Gostaria de saber dos mais entendidos, se a prática de tratar cada interface de um firewall (dmz) em uma chain específica, pode diminuir de alguma forma a performance, causando assim esse meu problema. Obrigado a atenção de todos...
Segue um trecho:
$iptables -A FORWARD -i $IFACE_INTERNET -j frominternet
$iptables -A FORWARD -i $IFACE_INTRANET -j fromintranet
$iptables -A FORWARD -i $IFACE_DMZ -j fromdmz
$iptables -A frominternet -j log-bad
$iptables -A frominternet -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A log-bad -i $IFACE_INTERNET -p tcp -m limit --limit 1/s --dport 0:65535 -j LOG --log-prefix "frombad: "
$iptables -A log-bad -i $IFACE_INTERNET -p udp -m limit --limit 1/s --dport 0:65535 -j LOG --log-prefix "frombad: "
$iptables -A log-bad -j RETURN
Performance: Firewall/Proxy
Amigo...
Normalmente, quando se tem um Proxy e este não está cacheado, o acesso realmente não é tão veloz com na máquina escrava.
Todo pacote é verificado pelo Firewall quando se está buscando direto na internet.
Se vc tem squid configurado aí, e tem seu cache configurado, mas continua tudo lento, é pq vc tem um problema realmente !
Se não tem squid, instale um que seus acessos ficam rápidos.
qualquer coisa, a gente te ajuda.
Abraço,
Abutre.
Performance: Firewall/Proxy
Tenho firewall e proxy.
cache_mem 32 MB
maximum_object_size 4096 KB
cache_dir ufs /var/spool/squid 10000 16 256
Performance: Firewall/Proxy
bom todo dispositivo de rede atrasa um poukinho os pacotes mas nao deveria ser significado se eh que voce me entende :)
verifique quais placas de redes tem no seu firewall, eles devem ser boas e segurar o thoughput da rede.
qual maquina eh seu firewall??? verifique o load na maquina (memoria cpu etc)
verifique se ela nao ta perdendo pacotes tambem :)
/proc e algumas ferramentas de monitramento de rede podem ajudar, snort pode te dar uma malzinha tambem jah q ele mostra qtos pacotes ele nao conseguiu analisar.
bom infelizmente em relacao as chains eu ainda n estudei direito essa area para saber se em termo de perfomance muda muito... e outro jeito de escrever regras muda tbm:
ex:
-p tcp --dport 80
-p tcp --dport 443
se uma regra com
-p tcp --multiport 80,443 etc etc etc seria melhor q zilhoes de regras,
isso so testando ou procurando melhor, eu nao tenho essa informacao :(