PF e numero di connessioni al secondo

Manuel Martini martin a gufi.org
Mar 29 Nov 2005 15:59:25 CET



Ciao ragazzi

ho messo un pf (freebsd 6.0) in un abiente di test per fare qualche
prova...


la situzione e'

(macchina A) 172.16.10.10 server con porta 6100 aperta

(macchina B) 172.16.10.254 interfaccia DMZ1 della macchina con PF
(macchina B)172.16.11.254 interfaccia DMZ2 della macchina con PF

(macchina C) 172.16.11.10 client che si collega alla 6100 di
172.16.10.10 





la macchina C fa 1000 connessioni al secondo verso la macchina A (non
parallele)  quindi 1000 connessioni da diverse porte alte sorgente
ad una porta (6100) destinazione...

succede che dopo appena 200 o 300 coneessi il client  (c) rimane appeso
e non riesce piu a connettersi al server (a)
le connessioni non arrivano propio al server .... vengono droppate
dal PF

le uniche regole del pf sono quelle di 
block in all
e pass on $dmz2 from A to C 
con tanto di flags S/SA modulate state

nei log (mettendo il log nella regola di pass)
vedo una riga per ognuna delle connessioni ma verso appunto 200 
non logga piu.. e C non riesce piu a collegarsi ad A
il server A e' disponibile e non ha problemi...

facendo le 1000 connessioni da un host
nella stessa rete di A le fa subito senza problemi


sul pf facendo pfctl -ss ci sono centinaia
di righe delle statiche create che naturalmente
scadranno dopo il tempo di timeout

Quello che posso escludere e':
- problema carico macchina PF (e' un computer potente)
-problema di schde di rete (ho cambiato da una quad ethernet a delle em)
- problema di numero di righe nel pfctl -ss (sono cifre basse, qualche
migliaia)
- non e' un problema di mbuff
- non e' un problema di memoria
- non ci sono scrub che rompono le balle

sembra quasi che pf interpreti le connessioni come qualche
forma di DOS (ma non logga nulla) non ho trovato un limite
per chesso "limite numero di connessioni in un lasso di tempo"


So che ho fornto pochi dati.. e che il problema puo' non essere semplice
ma magari c'e' qualche uovo di colombo che mi e' sfuggito



Ciao a Venerdi'....





-------------- parte successiva --------------
Un allegato non testuale  stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  187 bytes
Descrizione: non disponibile
Url:         http://mailman.gufi.org/pipermail/esperti/attachments/20051129/26f6e4da/signature.bin


Maggiori informazioni sulla lista esperti