[FUG-BR] [OFF TOPIC] - PF.
Joao Victor da Costa
victor em openit.com.br
Quinta Junho 28 11:30:48 BRT 2007
Ola,
você efetuou algum tipo de tunning nas variaveis (sysctl) de kernel ?
[]'s.
On Thu, 2007-06-28 at 10:29 -0300, Gilberto Villani Brito wrote:
> Ola,
> Tenho um firewall com um tráfego maior que 20 mbps com mais de 1500
> NATs usando PF.
> No meu log estou encontrando as seguintes mensagens:
> .....
> Jun 28 07:00:09 teste2 pf: BAD state: TCP 190.84.94.146:3954
> 190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
> win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
> modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
> pkts=4:2 dir=in,rev
> Jun 28 07:00:09 teste2 pf: State failure on: 1 | 5
> Jun 28 07:00:12 teste2 pf: BAD state: TCP 61.228.148.232:21588
> 61.228.148.232:21588 10.52.15.2:3859 [lo=2649072363 high=2649072365
> win=64240 modulator=0] [lo=0 high=1 win=1 modulator=0] 2:0 S
> seq=3741585167 ack=0 len=0 ackskew=0 pkts=1:0 dir=in,fwd
> Jun 28 07:00:12 teste2 pf: State failure on: 1 | 5
> Jun 28 07:00:12 teste2 pf: BAD state: TCP 190.84.94.146:3954
> 190.84.94.146:3954 200.250.23.90:59791 [lo=907875297 high=907940832
> win=65535 modulator=0] [lo=600059029 high=600124564 win=65535
> modulator=0] 10:10 SA seq=600733653 ack=907875297 len=0 ackskew=0
> pkts=4:2 dir=in,rev
> .....
> As opções no meu PF são:
> set debug misc
> set timeout { interval 10, frag 30 ,src.track 0 }
> set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> set timeout { icmp.first 20, icmp.error 10 }
> set timeout { other.first 60, other.single 30, other.multiple 60 }
> set timeout { adaptive.start 0, adaptive.end 0 }
> set limit { states 1000000, src-nodes 1000000, frags 50000 }
> set loginterface em0
> set optimization conservative
> set block-policy drop
> set require-order yes
> set state-policy floating
>
> As vezes o firewall quebra todas as conexões durante algum tempo e
> depois volta sozinho.
> Procurei algo na net sobre isso e não encontrei.
> Alguém já teve algum problema desse?? Será que pode ser algo em alguma
> variável do sistema??
>
>
> Abraços
--
Joao Victor da Costa.
Depto. de Suporte Unix
http://www.techmaster.com.br http://www.openit.com.br
http://www.myfreebsd.com.br
Tel.: 2517-6001 e 2517-6002
E-mail: victor em openit.com.br, suporteunix em techmaster.com.br
Mais detalhes sobre a lista de discussão freebsd