Portscan & Lange Antwortzeiten
-
hi Jungs,
mommentan hab ich massive Probleme mit Pfsense. Sobald ich aus dem internen Netz (LAN) einen Portscan mit Syn-Anfragen absetze ist zeitweise der gesamte Zugriff auf die Pfsense-Maschine nicht mehr möglich. Demensprechend erhalte ich auch keine Antworten mehr vom Gateway (pfsense) und aus dem Internet. (sehr lange Keep-Alives)
Es scheint der Eindruck das das gw unter der Last der Anfragen nicht mehr ansprechbar ist und somit die Funktion eines Gateway einstellt.
Gibts bereits dazu erfahrungen. Habe das Problem bei pfsense schon immer gehabt !
danke
-
Ist dir bewusst das du eine statetable hast die maximal 10'000 Einträge haben kann?
Logischerweise ist die statetable voll wenn du innerhalb 1minute 65535 syns absetzt.
Unter "advanced" kannst du die Grösse der statetable konfigurieren.
Achte aber darauf das du genug RAM hast wenn du sie grösser machst.
Kannst pro state 1Kb rechnen. -
das ist nachvollziehbar. Nur wusste ich nicht das der default wert bei pfs nur 10 000 Einträge zulässt. Das ist nicht besonders viel wenn man bedenkt dass meherer User über das Gateway arbeiten. Ich setze das gleich mal hoch und versuch das nochmal.
da ich in der Maschine 700 MB Ram zur Verfügung habe geh ich jetzt mal auf einen Wert von 500 000 Einträgen.
was hat es denn eigentlich mit der Option "Firewall Optimization Options" auf sich. Kann ich da auch noch was an Performance rausholen !?
-
Ja die optimization options werden wohl ebenfalls helfen
Dieser thread wird dich interessieren da es um ähnliches geht:
http://forum.pfsense.org/index.php/topic,14208.0.html -
Tag,
das mit der State-Tabel war wirklich der Flaschenhals. Das sollte man beachten. Vor allen beim Thema Portscan. Da kommt man leicht an die Grenzen von 100 000 (default-Werte) Einträgen in der State-Table und spätestens dann laufen Syn-Anfragen ins leere.
Habe reagiert und Pfsense auf einen performantere Maschine umgerüstet. (AMD Opteron
Processor 246 | 4 GB RAM)
Jetzt rockts und das Thema Portscans auf meherere Maschinene gleichzeitig ist kein Problem mehr.Wusste nicht das bei einer Stateful Packet Inspection Firewall ein so hohes Datenaufkommen für das speichern der Statustabelle notwendig ist. Speziell dann bei Datenaufkommen mit starker frequentierten Portanfragen (Scans). Da ist dann mit 700mb RAM nicht getan.
gruß
-
Wieviele States hast du denn jetzt so im "normalen" Portscan Betrieb?
Mit 700 MB - 128MB system = 572 MB könnte man ja eine statetable mit 572'000 Einträgen haben. -
Wenn ich nen Portscan fahre mit der Abfrage aller ports (Syn-Portscan(1-65535) pro 1 Host und das dann auf eine größeren Netzbereich von etwa 30-40 Hosts umrechn,. Kommt da wesentlich mehr zustande. Ich achte demnächst mal drauf und liefere da genaue Zahlen.
Gruß
