Firewall>Conections

**JasonHilario** · 12-08-2017, 08:48

O caso é o seguinte. Minha RB 1100 Ahx2
Com 450 clientes planos de 1 ate 5mbs e umas 50 regras no firewall sendo a maioria só redirecionamento para cameras.

Está batendo processamento.Dei uma pesquisada e vi que diminuindo o tempo de vida das conexoes tcp o processamento baixava um pouco.Queria saber se está certa essa afirmação e se estiver se o cliente estiver fazendo um download que exceda esse timeout da conexao tcp o download dele cai ou a conexão e renovada automaticamente ?

Estou ativando uma fibra e vou colocar outra rb 1100 pra alivar a carga da primeira...

**eduardomazolini** · 12-08-2017, 08:55

Não acho que resolva. Mas não vai causar problema no download. Pode dar problema em uma conexão tipo ssh sem mandar comandos. Em quanto tiver troca de pacotes não vai cair.
Se for pppoe eu recomendo de forma rápida colocar outra RB na mesma bridge e habilitar outro servidor pppoe. Aí os IPs que não achar na primeira coloca rota pra segunda.
Quando to com uma 2011 e o percebo esse problema eu vejo se tenho sxt ou Ominitik no ponto de acesso e ativo servidor pppoe neles. Até eu ir fazer uma manutenção.
Você precisa do connection track ativo? Não pode usar um FastTrack?
Tem nat usando action mascared em vez de src-nat?
Tá usando dns da RB?

**JasonHilario** · 12-08-2017, 09:17

Tenho que dar uma pesquisada a respeito desse fastTrack. O nat está sendo feito pelo mascared
dns google padrao

**eduardomazolini** · 12-08-2017, 09:38

Postado originalmente por JasonHilario

Tenho que dar uma pesquisada a respeito desse fastTrack. O nat está sendo feito pelo mascared
dns google padrao

Troque a action mascared por src-nat. Só não use se eu ip é dinâmico.
Se usa nat na pode desativar o connection track.
Se usa queue não pode usar FastTrack.
Se usa o DNS do Google desative o allow remote requests do DNS. Desative o acesso web da RB.

**JasonHilario** · 12-08-2017, 10:00

Vou dar uma estudada nessa parte do scr-nat ainda.
pelo que vi a regra é tipo assim certo ?

chain=srcnat out-interface=internet src-address=192.168.1.0/24
action=src-nat to-addresses=xx.xx.xx.xx to-ports=0-65535
sendo que no to-address coloco meu ip publico ?

Ativei aqui o fasttrack que foi bem simples. O processamento da rb ja baixou.Pelo pouco que li tambem nao posso usar nada que tenha o parent global nas queue. Os cliente aqui estão respeitando o limite de banda do queue então está joia.

E o dns ja esta desativado está opção

**eduardomazolini** · 12-08-2017, 10:16

O nat é isso mesmo não precisa preencher o to-port.

O queue não vai funcionar nada. Você vai ver uma informação fake.

**lnredivo** · 12-08-2017, 14:00

Postado originalmente por JasonHilario

Vou dar uma estudada nessa parte do scr-nat ainda.
pelo que vi a regra é tipo assim certo ?

chain=srcnat out-interface=internet src-address=192.168.1.0/24
action=src-nat to-addresses=xx.xx.xx.xx to-ports=0-65535
sendo que no to-address coloco meu ip publico ?

Ativei aqui o fasttrack que foi bem simples. O processamento da rb ja baixou.Pelo pouco que li tambem nao posso usar nada que tenha o parent global nas queue. Os cliente aqui estão respeitando o limite de banda do queue então está joia.

E o dns ja esta desativado está opção

Fasttrack e simple-queue não funciona as queues, só queue tree funcionaria.

**eduardomazolini** · 12-08-2017, 15:48

Postado originalmente por lnredivo

Fasttrack e simple-queue não funciona as queues, só queue tree funcionaria.

Eu acho que nenhuma funcionaria.

**JasonHilario** · 12-08-2017, 16:19

Simple Queue aqui dos clientes ppoe e clientes com ip estatico está fucionando de boa vou deixar mais alguns dias pra ver como vai se comportar a longo prazo.

**edvan01** · 12-08-2017, 19:05

Na minha eu baixei o tempo de concçao do farewel conections... para 5 horas.. nao tive poblema algum ja que: por exemplo vc faz uma conecçao com facebook por um ip local de sua rede... logo que ela fica apenas 5 horas nesta lista. no meu caso.. agora imagino que niguem fique 5 horas em um mesmo site. se a pessoa atualizar a pagina a nova conecçao e feita.. com novo tempo... a minha tambem e uma 1100ahx2. meu procesamento caiu bastante sim... ate porque tambem tirei varias regras de mangle. e isso quase zerou o processamento...
. agora algume que tenha uma 1100 me responda... quando uma fan chega ao limite aciona a outra e fuciona as duas simultaneamente ? minha duvida e esta pois a minha estava a 6 k de velocidade. ate entranhei...
um teste que fiz... foi segura a ligada e ae acionou a outra altomaticamente.. imagino que se der pal em uma aciona a outra.. ate prq sao tres fios da fan com controle de velocidade..

**ConsultorTik** · 16-08-2017, 09:05

Bom dia amigo, entre em tools>>profile. Te apresentará a seguinte tela

Clique na imagem para uma versão maior

Nome: Capturar.PNG
Visualizações: 211
Tamanho: 11,7 KB
ID: 67479

Este te mostrara o que está usando seu processamento, caso seja o firewall irá te mostrar se puder postar essa tela para uma analise, creio que seja o firewall.

At: Dzyan Mendes - CEO at ConsultorTik
http://consultortik.com.br
WP: (35) 9.9853-4244

**JasonHilario** · 16-08-2017, 16:23

Consegui Resolver. FastTrack e diminuir o tempo de conexão me rendeu uns 30% a menos de uso de cpu

Firewall>Conections

Ferramentas de Tópicos