pfSense (FreeBSD) firewall med netværksproblemer...

From: Anders Kvist (none@anders--kvistmail.dk.lh.bsd-dk.dk)
Date: Sat 13 Oct 2007 - 00:06:04 CEST

Next message: Asbjørn Clemmensen: "FreeBSD 6.2 + pf + kæmemssig table = problemer"
Previous message: Brian Josefsen: "Re: [Fwd: Security fix for openssl] Hvad med F&N bsd"
Next in thread: Uffe Jakobsen: "Re: pfSense (FreeBSD) firewall med netværksproblemer..."
Reply: Uffe Jakobsen: "Re: pfSense (FreeBSD) firewall med netværksproblemer..."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Sat, 13 Oct 2007 00:06:04 +0200
From: Anders Kvist <none@anders--kvistmail.dk.lh.bsd-dk.dk>
To:  bsd-dk@bsd-dk.dk
Subject: pfSense (FreeBSD) firewall med netværksproblemer...

Hej

Jeg har installeret en pfsense firewall, der er bygget på FreeBSD, så nu
prøver jeg lige her med et problem den giver...

Jeg har op imod 65k pakker i sekundet, 300Mbit igennem den og ca 200k
states. Hardwaren er en dual quadcore xeon med et pci express x4 kort -
intel pro 1000 pt quad port server adapter, så hardwaren burde kunne
klare det, men det virker bare ikke. Interfaces er bundet som følger:

em0 - WAN
em1 - LAN
em2 - WIFI (ikke i brug endnu)
em3 - DMZ

Hvis jeg laver en processlisting, så ser jeg mine interfaces øverst,
sammen med idle CPU:

root 16 91.7 0.0 0 8 ?? RL 8:43AM 549:36.09 [idle: cpu1]
root 10 90.0 0.0 0 8 ?? RL 8:43AM 556:59.56 [idle: cpu7]
root 15 88.2 0.0 0 8 ?? RL 8:43AM 538:55.22 [idle: cpu2]
root 14 88.1 0.0 0 8 ?? RL 8:43AM 536:27.61 [idle: cpu3]
root 12 87.6 0.0 0 8 ?? RL 8:43AM 535:09.87 [idle: cpu5]
root 13 84.7 0.0 0 8 ?? RL 8:43AM 535:45.92 [idle: cpu4]
root 32 83.1 0.0 0 8 ?? WL 8:43AM 334:05.07 [irq18: em3]
root 20 80.1 0.0 0 8 ?? WL 8:43AM 350:39.63 [swi1: net]
root 11 33.6 0.0 0 8 ?? RL 8:43AM 277:24.28 [idle: cpu6]
root 17 19.1 0.0 0 8 ?? RL 8:43AM 249:28.48 [idle: cpu0]
root 30 5.0 0.0 0 8 ?? WL 8:43AM 49:37.61 [irq16: em0]
root 31 2.6 0.0 0 8 ?? WL 8:43AM 14:00.68 [irq17: em1 em2]

Alt presset vi har på firewallen, går fra WAN til DMZ og ifølge
processlisten, så ligger load på DMZ interfacet meget højt i forhold til
WAN, over 10 gange så meget. Når den nærmer sig de 100%, så ryger
latency hurtigt op og maskinen bliver svær at snakke med...no wonder :)

Jeg har prøvet at skifte interfaces, så det ikke var em3 der var DMZ,
men em1, det gjorde ingen forskel. Jeg har forsøgt at tune OS'et, der
var lidt drops i intr_queue, men det er fixet, men gør ingen forskel på
det her. Jeg har været igang med at analysere pakker på begge
interfaces, der er ikke megen forskel på mængden og størrelsen af pakker
der ryger igennem, med andre ord, ca det samme der ryger igennem begge
interfaces. Jeg har været igang med at kigge på DMZ zonens trafik uden
for firewallen, men intet at se, ingen fejl på netværket eller andet....

Så nu er jeg ved at løbe tør for ideer, nogen her der kunne have et par
hints til hvor der kunne være en fejl?

/Anders Kvist

Next message: Asbjørn Clemmensen: "FreeBSD 6.2 + pf + kæmemssig table = problemer"
Previous message: Brian Josefsen: "Re: [Fwd: Security fix for openssl] Hvad med F&N bsd"
Next in thread: Uffe Jakobsen: "Re: pfSense (FreeBSD) firewall med netværksproblemer..."
Reply: Uffe Jakobsen: "Re: pfSense (FreeBSD) firewall med netværksproblemer..."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 31 Oct 2007 - 23:00:02 CET