PF e numero di connessioni al secondo

Luca Morettoni ml a morettoni.net
Mar 29 Nov 2005 16:58:25 CET


On Tue, Nov 29, 2005 at 03:59:03PM +0100, Manuel Martini wrote:
> 
> 
> Ciao ragazzi
> 
> ho messo un pf (freebsd 6.0) in un abiente di test per fare qualche
> prova...
> 
> 
> la situzione e'
> 
> (macchina A) 172.16.10.10 server con porta 6100 aperta
> 
> (macchina B) 172.16.10.254 interfaccia DMZ1 della macchina con PF
> (macchina B)172.16.11.254 interfaccia DMZ2 della macchina con PF
> 
> (macchina C) 172.16.11.10 client che si collega alla 6100 di
> 172.16.10.10 
> 
> 
> 
> 
> 
> la macchina C fa 1000 connessioni al secondo verso la macchina A (non
> parallele)  quindi 1000 connessioni da diverse porte alte sorgente
> ad una porta (6100) destinazione...
> 
> succede che dopo appena 200 o 300 coneessi il client  (c) rimane appeso
> e non riesce piu a connettersi al server (a)
> le connessioni non arrivano propio al server .... vengono droppate
> dal PF
> 
> le uniche regole del pf sono quelle di 
> block in all
> e pass on $dmz2 from A to C 
> con tanto di flags S/SA modulate state
> 
> nei log (mettendo il log nella regola di pass)
> vedo una riga per ognuna delle connessioni ma verso appunto 200 
> non logga piu.. e C non riesce piu a collegarsi ad A
> il server A e' disponibile e non ha problemi...
> 
> facendo le 1000 connessioni da un host
> nella stessa rete di A le fa subito senza problemi
> 
> 
> sul pf facendo pfctl -ss ci sono centinaia
> di righe delle statiche create che naturalmente
> scadranno dopo il tempo di timeout
> 
> Quello che posso escludere e':
> - problema carico macchina PF (e' un computer potente)
> -problema di schde di rete (ho cambiato da una quad ethernet a delle em)
> - problema di numero di righe nel pfctl -ss (sono cifre basse, qualche
> migliaia)
> - non e' un problema di mbuff
> - non e' un problema di memoria
> - non ci sono scrub che rompono le balle
> 
> sembra quasi che pf interpreti le connessioni come qualche
> forma di DOS (ma non logga nulla) non ho trovato un limite
> per chesso "limite numero di connessioni in un lasso di tempo"
> 
> So che ho fornto pochi dati.. e che il problema puo' non essere semplice
> ma magari c'e' qualche uovo di colombo che mi e' sfuggito

non saprei, sto cominciando ad analizzare seriamente anche io pf, con che
cosa tiri su le connessioni verso la macchina con pf?
se mi riesce in serata tento anche io qualche esperimento...

-- 
Luca Morettoni <luca(AT)morettoni(DOT)net> - http://morettoni.net
GUFI staff/core member <luca(AT)gufi(DOT)org> - http://gufi.org
AIP/ITCS member #2589 | FreeSBIE developer <luca(AT)FreeSBIE(DOT)org>
Current system: FreeBSD 5.4-STABLE, up 1 day, 5 hrs, 12 mins, 51 secs
-------------- parte successiva --------------
Un allegato non testuale  stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  195 bytes
Descrizione: non disponibile
Url:         http://mailman.gufi.org/pipermail/esperti/attachments/20051129/cde0fbc9/attachment.bin


Maggiori informazioni sulla lista esperti