Limitation nombre de requête TCP

Nusa

Bonjour,

J'ai un Pfsense 2.01 dans un boitier FWA-3030 de chez Osnet.

Wan 1 : fibre optique Completel
Wan 2 : ADSL freebox en backup.

Mes amis de chez Completel m'annonce que mon modem fibre est bridée au niveau du nombre de requetête TCP :

Merci de limiter votre trafic TCP à une valeur infèrieure des 10000 sessions maximum possibles sur les liens Completude IP

Question :

Puis-je limiter ce nombr de requête? leur durée  de vie?
Si oui, comment puis-je limiter ce nombre de requête sur mon pfsense?
Et puis-je suivre ce nombre de requête?

D'avance merci.

Nusa

Nusa

Avant de me faire taper sur les doigts, je précise que j'ai fais des recherches qui m'ont amener aux éléments suivants :

Sur la page d'accueil :

State table size

Est-ce le paramètre que je dois regarder?

Ensuite j'ai ceci :

http://doc.pfsense.org/index.php/How_can_I_increase_the_state_table_size%3F

Mais je dois pas être bon (ou pas la bonne version) care je ne vois pas ce qui est expliqué ci-dessus.

Nusa

Nusa

Cela semble se confirmer :

[2.0.1-RELEASE][root@pf]/root(1): pfctl  -sm
states        hard limit  198000
src-nodes    hard limit  198000
frags        hard limit    5000
tables        hard limit    1000
table-entries hard limit  200000
[2.0.1-RELEASE][root@pf]/root(2):

Nusa

ccnet

Pour une règle donnée : Advanced Options -> Maximum state entries this rule can create ?

Nusa

OK merci.
Je dois maintenant, avant de limiter ceci, regarder comment savoir si j’atteins cette limite d'où mon idée de supervision… car c'est bien de modifier un paramètre encore faut-il avoir les indicateurs pour savoir si cela a porté ces fruits...

Nusa

ccnet

J'en suis bien d'accord.

Juve

L'option avancée peut le faire je pense mais le truc "touchy" c'est qu'il faut que ca prenne en compte toutes les connexions TCP donc, le faire sur toutes les règles TCP à destination du LAN.
Peut-être un truc sioux à tester sur la carte WAN avec les règles en "OUT"….

Nusa

Merci Juve pour la précision.

Je me demande comment je pourrais grappher le résultat de la commande :

[2.0.1-RELEASE][root@pf]/root(1): pfctl  -sm
states        hard limit  198000
src-nodes    hard limit  198000
frags        hard limit    5000
tables        hard limit    1000
table-entries hard limit  200000
[2.0.1-RELEASE][root@pf]/root(2):

Une idée par hasard?

Nusa

Nusa

Bonjour,

Pouce ceux que cela intéresse, voici une discussion qui peut vous intéresser :

http://forums.monitoring-fr.org/index.php/topic,6385.0.html

Nusa

Nusa

J'avance :

root@shinken:~# snmpwalk -v 2c -c public IP-PF .1.3.6.1.4.1.12325.1.200.1.3.1
iso.3.6.1.4.1.12325.1.200.1.3.1.0 = Gauge32: 3772
root@shinken:~#

Nusa

Nusa

Re, j'ai avancé :

C'est beau!!!

D'un point de vu technique :

J'ai utilisé PRTG, import de la MIB "BEGEMOT-PF-MIB.txt" :

Déclaration d'une sonde SNMP personnalisé et ça roule.

Nusa