limites de conexões...muito importante!!!

[Roberto21]

Olá pessoal, mas uma vez venho contribuir com o forum nas experiências adquiridas no decorrer da administração das redes, acreditem ''a prática vale muito'' na hora do vamos ver...


Seguinte, ví em alguns tópicos o pessoal reclamando que o squid está lento ou em certos momentos fica lento, ou que o mikrotik não suporta a quantidade de requisições (bobagem) e vários outros comentários, vou passar a dica para vocês de como colocar o seu proxy em paralelo ao mikrotik para voar realmente, perceberão que é apenas um detalhe, meu proxy em paralelo está mandando cerca de 2 a 3G de hit's dia para os clientes e a coisa funciona assim:

vamos começar pelo mangle, essas são as regras que marcam os hist's:

add chain=output action=mark-connection new-connection-mark=HIT \
passthrough=yes out-interface=bridge1 dst-port=5128 content="X-Cache: HIT" \
comment="HIT'S DO PROXY" disabled=no

add chain=output action=mark-packet new-packet-mark="hit's do proxy" \
passthrough=yes connection-mark=HIT comment="" disabled=no

Observem que a porta que uso para o proxy é a 5128, mudem para a de vocês, outro detalhe importantíssimo nessa marcação é que vocês perceberam que só é marcado o hit na aba advanced, por que no MK quando você não seta protocolo ou porta ou interface alguma ele vai fazer a marcação em tudo que contiver a TAG, observem que só marquei a bridge, já que a minha interface do link está fora da bridge.A porta 5128 seria só para ''''amostra'' por que quando copiarem a regra veram que ela está desabilitada, então eu só estou marcando a TAG hit onde ela estiver, dentro da conexão.


Segunda parte...firewall filter ( mais importante ):

NÃO SE DEVE LIMITAR A CONEXÃO DOS HIT'S POR QUE AI VOCÊ LIMITA O SEU PROXY, E FICARIA SEM SENTIDO O PROXY FULL COMO TODOS CHAMAM.

Na regra que limita as conexões do seu MK você deve excluir os hit's ficando assim o limite só para o link, aqui está a regra que uso:

add chain=forward action=drop tcp-flags=syn in-interface=bridge1 \
src-address=172.128.254.0/24 dst-address=!192.168.50.2 protocol=tcp \
packet-mark="!hit's do proxy" connection-limit=30,32 comment="LIMITANDO A \
30 O N MERO DE CONEX ES" disabled=no

Observem que seto o endereço dos ip's dos clientes, a interface, e excluo o ip do proxy em paralelo, no caso o 192.168.50.2, e aproveito também e excluo a marcação do hit no mangle, assim, não tenho limite algum de conexões para o proxy em paralelo.

Agora vamos pensar um pouco...Imagine você liberando o seu proxy do limite de conexões no MK principal, ou seja '''''embaixo'' e nas Rb's ou nos pc-ap você tiver a mesma regra de limite de conexões ? Vai acontecer um ''''funil'' em sua rede, imagine um cano de água grosso e logo a frente um redutor para um cano fino, a passagem vai ficar estreita concordam? Então o proxy saindo sem limites do Mk ''''embaixo''' e limitado em cima vai estourar fácil, fácil o limite de conexões de sua Rb ou pc-ap deixando assim a conexão dos seus clientes LENTA e você com suspeita que o seu proxy em paralelo não está funcionando bem ou seu Mk não '''aguenta'' a quatidade de requisições ou conexões.

Pronto, façam isso e vejam a diferença em sua rede, agora não adianta ter isso e nos PTP estarem perdendo pacotes ou com ACK lá em cima, por que o tráfego aumetará muito em sua rede, levando dessa forma a muitos reenvios de dados fazendo novamente a conexão ficar lenta.

Quanto a tópicos em que o pessoal fala em alterar o limite de conexões do proxy para 4096, dêem uma lida em meu tópico sobre conexões, limites de conexões e como elas funcionam, e veram que não é necessário alterar isso ai, aqui estão:

https://under-linux.org/f111481-se-ler-com-atencao-sua-rede-vai-melhorar-2-a

https://under-linux.org/f110911-se-ler-com-atencao-sua-rede-vai-melhorar

Em boa rede hoje não é mais ''admissível'' perda de pacotes entre as torres ou ACK elevado, por que dispomos de vários equipamentos de qualidade para resolver isso, além das dicas preciosas do forum.

Outra coisa importante, '''não esqueçam de reconfigurar o '''resolv.conf'''

Bom, espero ter ajudado, e como de costume, Se a leitura for útil, um agradecimento por favor.

[rrinfor]

Olá pessoal, mas uma vez venho contribuir com o forum nas experiências adquiridas no decorrer da administração das redes, acreditem ''a prática vale muito'' na hora do vamos ver...


Seguinte, ví em alguns tópicos o pessoal reclamando que o squid está lento ou em certos momentos fica lento, ou que o mikrotik não suporta a quantidade de requizições (bobagem) e vários outros comentários, vou passar a dica para vocês de como colocar o seu proxy em paralelo ao mikrotik para voar realmente, perceberão que é apenas um detalhe, meu proxy em paralelo está mandando cerca de 2 a 3G de hit's dia para os clientes e a coisa funciona assim:

vamos começar pelo mangle, essas são as regras que marcam os hist's:

add chain=output action=mark-connection new-connection-mark=HIT \
passthrough=yes out-interface=bridge1 dst-port=5128 content="X-Cache: HIT" \
comment="HIT'S DO PROXY" disabled=no

add chain=output action=mark-packet new-packet-mark="hit's do proxy" \
passthrough=yes connection-mark=HIT comment="" disabled=no

Observem que a porta que uso para o proxy é a 5128, mudem para a de vocês, outro detalhe importantíssimo nessa marcação é que vocês perceberam que só é marcado o hit na aba advanced, por que no MK quando você não seta protocolo ou porta ou interface alguma ele vai fazer a marcação em tudo que contiver a TAG, observem que só marquei a bridge, já que a minha interface do link está fora da bridge.A porta 5128 seria só para ''''amostra'' por que quando copiarem a regra veram que ela está desabilitada, então eu só estou marcando a TAG hit onde ela estiver, dentro da conexão.


Segunda parte...firewall filter ( mais importante ):

NÃO SE DEVE LIMITAR A CONEXÃO DOS HIT'S POR QUE AI VOCÊ LIMITA O SEU PROXY, E FICARIA SEM SENTIDO O PROXY FULL COMO TODOS CHAMAM.

Na regra que limita as conexões do seu MK você deve excluir os hit's ficando assim o limite só para o link, aqui está a regra que uso:

add chain=forward action=drop tcp-flags=syn in-interface=bridge1 \
src-address=172.128.254.0/24 dst-address=!192.168.50.2 protocol=tcp \
packet-mark="!hit's do proxy" connection-limit=30,32 comment="LIMITANDO A \
30 O N MERO DE CONEX ES" disabled=no

Observem que seto o endereço dos ip's dos clientes, a interface, e excluo o ip do proxy em paralelo, no caso o 192.168.50.2, e aproveito também e excluo a marcação do hit no mangle, assim, não tenho limite algum de conexões para o proxy em paralelo.

Agora vamos pensar um pouco...Imagine você liberando o seu proxy do limite de conexões no MK principal, ou seja '''''embaixo'' e nas Rb's ou nos pc-ap você tiver a mesma regra de limite de conexões ? Vai acontecer um ''''funil'' em sua rede, imagine um cano de água grosso e logo a frente um redutor para um cano fino, a passagem vai ficar estreita concordam? Então o proxy saindo sem limites do Mk ''''embaixo''' e limitado em cima vai estourar fácil, fácil o limite de conexões de sua Rb ou pc-ap deixando assim a conexão dos seus clientes LENTA e você com suspeita que o seu proxy em paralelo não está funcionando bem ou seu Mk não '''aguenta'' a quatidade de requizições ou conexões.

Pronto, façam isso e vejam a diferença em sua rede, agora não adianta ter isso e nos PTP estarem perdendo pacotes ou com ACK lá em cima, por que o tráfego aumetará muito em sua rede, levando dessa forma a muitos reenvios de dados fazendo novamente a conexão ficar lenta.

Quanto a tópicos em que o pessoal fala em alterar o limite de conexões do proxy para 4096, dêem uma lida em meu tópico sobre conexões, limites de conexões e como elas funcionam, e veram que não é necessário alterar isso ai aqui estão:

https://under-linux.org/f111481-se-ler-com-atencao-sua-rede-vai-melhorar-2-a

https://under-linux.org/f110911-se-ler-com-atencao-sua-rede-vai-melhorar

Em boa rede hoje não é mais ''admissível'' perda de pacotes entre as torres ou ACK elevado, por que dispomos de vários equipamentos de qualidade para resolver isso, além das dicas preciosas do forum.

Outra coisa importante, '''não esqueçam de reconfigurar o '''resolv.conf'''

Bom, espero ter ajudado, e como de costume, Se a leitura for útil, um agradecimento por favor.

Olá roberto21!

Só uma duvida, a excessão nao deveria ser para a marcação da conexão ?? ex: connection-mark=!HIT'S DO PROXY, ou precisa ser especificamente para a marcação de pacotes??

Creio que uma conexão depois de estabelecida, o tráfego de pacotes não será contabilizado ao aplicar limite para conexões simutãneas pois a mesma só contabiliza depois do Three-way Handshake! ou não??

Abraços

[Roberto21]

Bom, lá no início do tópico eu citei a prática como um bom aliado, aqui fiz dessa forma e roda 100%, ao menos na minha ótica, mas você pode estar certo, ele pode estar fazendo a exclusão pelo ip, e ai se não cai em uma cai em outra, masssssssss....vou dar uma estudada aqui...agora fiquei em dúvida, o pessoal ai mais experiente com certeza vai dar uma opinião.

O detalhe é que não estou marcando e sim excluindo..observou isso ?

Obrigado

[rrinfor]

O detalhe é que não estou marcando e sim excluindo..observou isso ?

Observei!

vc esta excluindo uma marcação de pacotes (mark-packet=!xxxx) na regra de firewall para limitar conexões simutâneas

Abraços

[angelangra]

Amigo você falou proxy paralelo, certo? Essa mesma regra pode está sendo usada para o webproxy do proprio MikroTik?

Em out-interface=bridge1 vou colocar a que está ligado meu link?

Obrigado

[EdilsonLSouza]

Um tópico muito bom para o aprendizado ficou parado!

Também acho que há uma redundância ao excluir o IP e os Hits.

[Roberto21]

Sim, sim, por favor se sintam a vontade para me corrigir sempre que for preciso !!!!!