[GTER] Priorização e Reserva de banda

c0re dumped ez.c0re at gmail.com
Fri Aug 3 14:25:39 -03 2007 

Pra trabalhar especificamente com um PF já configurado vc não precisa
saber muito a respeito de BSD's não...  :D

Quanto a questão do Linux - apesar de ser supeito pra falar pois
tabalho com BSD's há 9 anos - não recomendaria. O que vc vai usar ? O
BUGtables ? Se com a sintaxe do PF vc está tendo dificuldade imagina
com aqueles zilhões de flags...

Além do mais o PF em qualquer BSD é um firewall que tem um desemprenho
fenomenal: pra vc ter uma idéia temos por volta de 2000 usuários e há
pouco tempo atrás (3 meses) nosso firewalls eram 2 PF's rodando em
cima de 2 suns ultra 10 com 512 de ram... e olha que NUNCA tivemos
nenhum tipo de probelma. E temos muitas aplicaçoes pesadas aqui.
nossos dois links (um de 6 e outro de 20) estavam quase sempre no
talo.

Hoje estamos com CheckPoint em SPLAT, com certeza é a melhor solução
de FW do mercado, mas isso foi uma demanda pontual, se não fosse por
isso o PF ainda estaria aqui numa boa.

Sugiro tenta instalar o pftop, é uma ferramenta que permite em tempo
reall, visualizar várias coisas no PF, entre elas a utilização das
filas. Vc vai ter uma boa idéia de como está sendo usada sua banda.
Pra quem usa PF é *INDISPENSÁVEL*.

Pra instalar (assumindo que seu firewall tem permissão de saida pra
net) é só digitar:

pkg_add -r pftop

Se não bas dar uma pesquisada em
http://www.eee.metu.edu.tr/~canacar/pftop e baixar a versão mais nova,
compilar e instalar. Não tem dependencias.

Juntamente com isso, sugiro que faça duas coisas:

1 - dê uma olhada nos seus logs, eles podem te revelar MUITA coisa;
2 - dê uma olhada no que está trafegando pela sua rede, um tcpdump
resolve. Se vc preferir ver as coisas mais coloridas e gráficas,
instale o ntop;

Por último, desmarca essas regras que estão fazendo tagging, não
precisa isso. O PF, por padrão, bloqueia tudo que bnão é
explicitamente permitido. Fazer tagging de pacotes toma uma parcela
significativa do processamento, ainda mais taggin de pacotes de
tentativas de sessões netbios e de conexões MSSQL e tudo isso pra no
final descartar o pacote.

Tagging geralmente é usado pra fazer QOS, não pra marcar pacotes que
serão dropados.

[]'s

-- 
No stupid signatures here.

http://www.webcrunchers.com/crunch/

More information about the gter mailing list