+ Responder ao Tópico



  1. #1
    SATE
    Visitante

    Padrão Performance: Firewall/Proxy

    :roll:

    Olá Pessoal do Fórum.
    Estou tendo um probleminha de performance em meu firewall/proxy.
    Bem, na verdade não chega a ser problema na performance, mas notei que apartir do momento que colocamos um firewall rodando, mesmo estando bem enxuto em suas regras, a performance da rede(internet) caiu um pouco. Gostaria de saber dos mais entendidos, se a prática de tratar cada interface de um firewall (dmz) em uma chain específica, pode diminuir de alguma forma a performance, causando assim esse meu problema. Obrigado a atenção de todos...

    Segue um trecho:

    $iptables -A FORWARD -i $IFACE_INTERNET -j frominternet
    $iptables -A FORWARD -i $IFACE_INTRANET -j fromintranet
    $iptables -A FORWARD -i $IFACE_DMZ -j fromdmz


    $iptables -A frominternet -j log-bad
    $iptables -A frominternet -m state --state ESTABLISHED,RELATED -j ACCEPT

    $iptables -A log-bad -i $IFACE_INTERNET -p tcp -m limit --limit 1/s --dport 0:65535 -j LOG --log-prefix "frombad: "
    $iptables -A log-bad -i $IFACE_INTERNET -p udp -m limit --limit 1/s --dport 0:65535 -j LOG --log-prefix "frombad: "
    $iptables -A log-bad -j RETURN

  2. #2
    Abutre
    Visitante

    Padrão Performance: Firewall/Proxy

    Amigo...
    Normalmente, quando se tem um Proxy e este não está cacheado, o acesso realmente não é tão veloz com na máquina escrava.
    Todo pacote é verificado pelo Firewall quando se está buscando direto na internet.
    Se vc tem squid configurado aí, e tem seu cache configurado, mas continua tudo lento, é pq vc tem um problema realmente !
    Se não tem squid, instale um que seus acessos ficam rápidos.
    qualquer coisa, a gente te ajuda.

    Abraço,

    Abutre.

  3. #3
    SATE
    Visitante

    Padrão Performance: Firewall/Proxy

    Tenho firewall e proxy.

    cache_mem 32 MB
    maximum_object_size 4096 KB
    cache_dir ufs /var/spool/squid 10000 16 256

  4. #4

    Padrão Performance: Firewall/Proxy

    bom todo dispositivo de rede atrasa um poukinho os pacotes mas nao deveria ser significado se eh que voce me entende

    verifique quais placas de redes tem no seu firewall, eles devem ser boas e segurar o thoughput da rede.

    qual maquina eh seu firewall??? verifique o load na maquina (memoria cpu etc)


    verifique se ela nao ta perdendo pacotes tambem

    /proc e algumas ferramentas de monitramento de rede podem ajudar, snort pode te dar uma malzinha tambem jah q ele mostra qtos pacotes ele nao conseguiu analisar.


    bom infelizmente em relacao as chains eu ainda n estudei direito essa area para saber se em termo de perfomance muda muito... e outro jeito de escrever regras muda tbm:

    ex:


    -p tcp --dport 80
    -p tcp --dport 443


    se uma regra com

    -p tcp --multiport 80,443 etc etc etc seria melhor q zilhoes de regras,

    isso so testando ou procurando melhor, eu nao tenho essa informacao