[FUG-BR] Performance estranha e quedas na conexão

Antonio Modesto modesto em isimples.com.br
Quarta Outubro 13 11:07:20 BRT 2010 

Eu resolvi fazendo assim:


ipfw add divert 8668 all from <rede interna> to any via <interface
especificada no natd>
ipfw add divert 8668 all from any to me via <interface especificada no
natd>

On Wed, 2010-10-13 at 09:33 -0300, Renato Frederick wrote:

> Precisa fazer o divert "from any to any"?
> 
> O ideal seria 2 regras, uma para out, outra para in e especificando 
> endereços de origem/destino.
> 
> Outra dúvida, os clientes internos precisam sair com nat pro pgsql?
> 
> talvez reescrever a regra seja interessante, até para economia de 
> cpu/memória(já que um divert all from any to any empurra pro natd tudo que 
> passe pelo firewall e venha de ip´s reservados).
> 
> []s
> 
> 
> 
> 
> 
> -----Mensagem Original----- 
> From: Antonio Modesto
> Sent: Wednesday, October 13, 2010 8:49 AM
> To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR)
> Subject: Re: [FUG-BR]Performance estranha e quedas na conexão
> 
> Tambem tive um problema parecido, e também eram regras erradas no NATD.
> 
> On Tue, 2010-10-12 at 23:52 -0300, Marcelo Gondim wrote:
> 
> > Opa fazendo testes aqui em casa já descobri o problema da queda de conexão
> > que pode resolver tanto o problema do putty quanto do PostgreSQL. O 
> > problema
> > está mesmo no NAT. Estava fazendo a regra sem o keep-state e fazia como
> > stateless a saída e a entrada da comunicação dessa forma fazendo uma regra
> > como abaixo resolveu o problema das quedas e quem sabe também poderá
> > resolver o problema da performance.  :)
> >
> > ipfw add divert 8668 all from any to any out via re0 keep-state
> >
> > Dessa forma a conexão com o putty se manteve e não caiu mais como se fosse
> > um time-out
> >
> > Assim que tiver feito os outros testes avisarei aqui.  :)
> >
> > --------------------------------------------------
> > From: "Marcelo Gondim" <gondim em linuxinfo.com.br>
> > Sent: Tuesday, October 12, 2010 10:38 PM
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão
> >
> > > Oi Rodrigo,
> > >
> > > --------------------------------------------------
> > > From: "Rodrigo Mosconi" <freebsd em mosconi.mat.br>
> > > Sent: Tuesday, October 12, 2010 2:22 PM
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd em fug.com.br>
> > > Subject: Re: [FUG-BR]Performance estranha e quedas na conexão
> > >
> > >> Marcelo,
> > >>
> > >> Em 12 de outubro de 2010 01:18, Marcelo Gondim
> > >> <gondim em linuxinfo.com.br> escreveu:
> > >>> Olá pessoal,
> > >>>
> > >>> Estou fazendo uma migração aqui de um servidor Firewall Linux CentOS 
> > >>> 5.5
> > >>> para um FreeBSD 8.1-STABLE. Passei o dia fazendo todas as regras
> > >>> equivalentes entre o Netfilter/IPTables para o ipfw/natd. Todos os
> > >>> acessos
> > >>> funcionaram, tanto filtros quanto NAT, mas aconteceram 2 coisas
> > >>> estranhas
> > >>> e
> > >>> vim aqui recorrer à experiência de vocês, que tem mais tempo e bagagem
> > >>> com
> > >>> FreeBSD.  :)
> > >>>
> > >>> A configuração básica é essa:
> > >>>
> > >>> Internet <-----> Firewall FreeBSD <-----> rede do cliente (Aplicação 
> > >>> em
> > >>> Delphi)
> > >>>                                           |
> > >>>                                           |
> > >>>                                           |
> > >>>                              Servidor PostgreSQL
> > >>>
> > >>> 1) Primeira coisa  que aconteceu, o acesso da aplicação Delphi dele 
> > >>> para
> > >>> a
> > >>> base PostgreSQL ficou muito mas muito mais lento e no Firewall não 
> > >>> estou
> > >>> fazendo qualquer controle de tráfego. Achei estranho e voltei para o
> > >>> CentOS
> > >>> e a aplicação voltou ao normal e sua velocidade.
> > >>>
> > >>> 2) Outra coisa estranha que ocorre: o cliente está com aplicação
> > >>> conectada
> > >>> na base e depois de um tempo sem fazer nada no sistema, quando ele vai
> > >>> fazer
> > >>> algo, dá um erro de SQL dizendo que o servidor perdeu a conexão como 
> > >>> se
> > >>> a
> > >>> conexão tivesse sido fechada por time-out. Isso também ocorre com o
> > >>> putty,
> > >>> tipo fiz um acesso ssh pelo putty no servidor postgresql. Se eu ficar 
> > >>> um
> > >>> tempo com o putty parado, sem digitar nada, a conexão cai também. Fiz 
> > >>> o
> > >>> mesmo teste voltando para o CentOS e os erros não ocorreram e nem a
> > >>> conexão
> > >>> ssh caiu no putty.
> > >>>
> > >>> Alguém saberia dar uma luz sobre essa situação, tipo se a velocidade
> > >>> estaria
> > >>> relacionada à algum tunning e se essas quedas na conexão tcp por
> > >>> time-out
> > >>> tem algum ajuste também?
> > >>>
> > >>> []´s a todos e agradeço desde já qualquer luz  :)
> > >>
> > >> 1- Há nat entre os clientes e a base PG? É um cenário parecido com o
> > >> email anterior da lista?
> > >>
> > >
> > > Sim sim é mesmo cenário. Existe o nat entre o cliente e a base, no
> > > programa
> > > dele ele faz o acesso ao IP público e o mesmo é traduzido pelo nat para
> > > 192.168.10.2.
> > > O nat pode estar causando essa lentidão?
> > >
> > >> 2- O acesso à internet é IP dinâmico? Caso positivo, o script de FW é
> > >> executado
> > >> o link sobe?  Um flush do ipfw limpa todos os estados, o que derruba
> > >> as conexões.
> > >
> > > O IP é fixo e o script faz um ipfw -f flush antes de carregar as regras.
> > > Até
> > > pensei na hora que a conexão com a base havia caído no momento em que
> > > rodei
> > > o script mas mesmo sem rodar o script a conexão cai.  :(  será que pode
> > > ter
> > > à ver com o polling como coloquei num e-mail anterior? Também vou fazer 
> > > o
> > > teste de retirar todo o Firewall e deixar só o NAT para ver se a
> > > performance
> > > normaliza e as conexões ficam estáveis.
> > >
> > >>
> > >> 3- Já pensou em usar o PF no lugar do IPFW?
> > >>
> > >
> > > Poderia até usar mas achei estranho o que aconteceu e acredito que seja
> > > alguma falha na minha configuração e não no ipfw em si. De qualquer 
> > > forma
> > > pretendo estudar o pf como outra alternativa à firewall. :)
> > >
> > >> Att,
> > >>
> > >> Rodrigo Mosconi
> > >>
> > >>>
> > >
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> Antonio Modesto
> 
> Gerente de TI
> 
> 
> Praça Getúlio Vargas, 77 – Sala 308 – Centro
> 
> Santo Antônio do Monte – MG – CEP: 35560-000
> (37) 3281-2800 
> 
>isimples em isimples.com.brhttp://www.isimples.com.br
> 
> 
> Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter
> informações confidenciais e/ou
> 
> privilegiadas. Se você não for o destinatário ou a pessoa autorizada a
> receber esta mensagem, por favor, não
> 
> leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada
> nessas informações. Notifique o
> 
> remetente imediatamente por e-mail e apague a mensagem permanentemente.
> Atenção: embora a Isimples
> 
> Telecom, tome seus cuidados para garantir a ausência de vírus neste
> e-mail, a empresa não se responsabiliza
> 
> por quaisquer perdas ou danos decorrentes do uso da mensagem e seus
> anexos. A segurança e ausência de
> 
> erros na transmissão do e-mail não podem ser garantidas, já que as
> informações podem ser interceptadas,
> 
> corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou,
> ainda, conter vírus. Recomendamos
> 
> checar se o e-mail e seus anexos contém vírus, uma vez que nem a
> Isimples Telecom ou o remetente se
> 
> responsabilizam pela transmissão destes.
> 
> 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Antonio Modesto

Gerente de TI


Praça Getúlio Vargas, 77 – Sala 308 – Centro 

Santo Antônio do Monte – MG – CEP: 35560-000
(37) 3281-2800 

 isimples em isimples.com.brhttp://www.isimples.com.br


Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter
informações confidenciais e/ou 

privilegiadas. Se você não for o destinatário ou a pessoa autorizada a
receber esta mensagem, por favor, não 

leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada
nessas informações. Notifique o 

remetente imediatamente por e-mail e apague a mensagem permanentemente.
Atenção: embora a Isimples 

Telecom, tome seus cuidados para garantir a ausência de vírus neste
e-mail, a empresa não se responsabiliza 

por quaisquer perdas ou danos decorrentes do uso da mensagem e seus
anexos. A segurança e ausência de 

erros na transmissão do e-mail não podem ser garantidas, já que as
informações podem ser interceptadas, 

corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou,
ainda, conter vírus. Recomendamos 

checar se o e-mail e seus anexos contém vírus, uma vez que nem a
Isimples Telecom ou o remetente se 

responsabilizam pela transmissão destes.

Mais detalhes sobre a lista de discussão freebsd