PfSense aguenta o Tranco?
-
Olá galera… tenho uma duvida... ja postei um tópico PARECIDO, mas não era bem isso a pergunta.
tenho um servidor de jogos, ligado a uma fibra... gostaria de tirar o Roteador e colocar o PFSENSE.
Minha duvida... ele aguenta essa imensa quantidade de requisições sem perder a qualidade.... sem dar "lag"??
Além do que, recebo muitos Floods.
O CSF aguenta segurar os floods.... porém não sei o PfSense.A Maquina é
Athlon X2 4200+ (2200 Mhz)
3 Gb de ram DDR2
HD SSD SATA 3 de 60 Gb
Placa PCI-E Gigabit (dual Lan)A placa de rede é parecida com essa.
Vocês acham que aguenta?? Pois precisaria fazer Várias regras, proteger de inumeros floods, e permitir MUITAS conexões legitimas…. tem horario, que tem mais de 120 pessoas jogando em meu server.
Obrigado
-
Outra duvida… a placa mãe ja possui 2 placas de rede Gigabit Onboard (Asus A8N-Sli Premium).
Essas placas sera que são melhores, mais rapidas que a PCI-E ?? Eu sei que ambas são Gigabit... mas eu quero dizer a taxa de transferência de dados.
Onboard ou PCI-E? -
Tudo vai depender do hardware e da placa de rede. Qual é o chipset dessa NIC? Já realizou testes?
-
Boa tarde Brupj,
baseando-se na documentação oficial do packet filter no que se refere a questão de performance, levantei os seguintes intens:
- Como o packet filter já vem no kernel dos "BSDs", memória e processamento não deve ser levado TANTO em consideração;
- As placas de rede são o principal influenciador de performance;
- As complexidades das regras influenciam muito;
Conclusão:
- Como disse o colega neo_X, verifique a qualidade do chipeset;
- Verifique se cada porta de rede possui seu próprio chip ou um chip é compartilhado para as duas portas;
- O máximo possível, utilize alias (tables) em vez de varias regras com o mesmo destino ou origem (o packet filter bate muito nessa tecla no que se refere a performance);
- Se possui varias regras e dentre estas, alguma deve ser aplicada antes de outras, adicione essa regra em "Firewall > Rules > Floating". Marcar a opção Quick *****.
Outra sugestão é a marcação de pacote com qos, isso é muito útil (dependo do seu cenário). Espero ter clareado suas idéias.
grande abraço.
Att,
Bruno Pinheiro
-
Note que a imagem postada da placa de rede possui dois chips atrás de cada porta. Quando trata-se de placa on-board, geralmente vem um chip para duas portas de rede.
Tenho um pfsense com mais de 30mil conexões simultâneas e mais de 900 regras de firewall sem contar as regras de NAT.
Com serviços de criticidade baixa, média e alta.
att,
Bruno Pinheiro.
-
Tenho um pfsense com mais de 30mil conexões simultâneas e mais de 900 regras de firewall sem contar as regras de NAT.
Bruno, se puder passar informações de hardware, consumo de memória, processamento seria interessante.
Estou começando agora com o PFSense e isso nos ajuda a dimensionar as instaçaões.
Obrigado. -
Dell PowerEdge R610 com 8GB de memória RAM.
Estou mandando em anexo a utilização de recursos das ultimas 8 horas.
No cenário desse cliente é um servidor dedicado para firewall e outro para proxy. Estou adicionando mais um servidor em breve, para fazer um firewall somente Interno e outro Externo. Nesse firewall atual possui 34 Vlans.
O que pesa mesmo é o proxy, por isso separei.
abraços.
Att,
Bruno Pinheiro
-
O consumo de memória dar-se pelo recurso do pfblocker e snort. O pfsense com seus recursos nativos, consumiria menos.
-
Interessante, obrigado.
-
Referente ao hardware onde será instalado o pfSense, creio que não terá problema. A maior preocupação são as NICs. Já tive problemas com NICs realtek, substitui por broadcom e intel e nunca mais tive problema.
Se puder adquirir nics desses fabricantes será um ótimo investimento.
-
Desculpem a demora para responder…
A placa mãe (Asus que citei) pelo que vi, possui um chipset para cada placa Onboard...
Pelo menos foi o que entendi !! Quem manja mais... como testo para ver se realmente são boas em transferência de dados, latência e tals???Outra coisa... compensa mais em questão de velocidade, SSD ou Memory Card ?? Lembrando que recebo MUITOS ataques e preciso de velocidade... Internamente só terei 2 servidores... mas as conexões externas são MUITAs
-
Para testes recomendo o iperf. Com ele é possível teste de carga, parametrizando protocolos como UDP, TCP, tamanho dos pacotes entre outros avançados. Alem da velocidade ele traz o jitter. Para o windows tem uma versão em java "jperf". Ele é simples, voce precisa iniciar uma instância no servidor e no cliente apontar para este.
No que se refere a ataques, voce precisa identificar os tipos de ataques e a origem. Se seu servidor prove o serviço para o Brasil somente, utilize o pfblocker para bloquear trafego estrangeiro (alem disso, trafego de redes nivel1, nivel2, nivel 3, redes de hackers conhecidos, redes Zeus, spyware.. etc). No tipo de ataque voce pode verificar se é dos ou ddos, se for tcp e voce pode limitar em !Firewall > rules > Advanced features > Advanced Options" numero de conexoes por segundo, entradas na tabela de estado, conexões por host entre outros.
Se não for possível identificar esses ataques, recomendo implantar o snort ou o suricata. Mas não é simples assim, primeiro voce precisa identificar os tipos de ataques, pois uma regra mal configurada pode interferir muito na performance.
Na questão do disco, não vejo uma considerável importância para o seu cenário, pois não vai ter muita escrita e leitura. Se tivesse um serviço de cache (dns ou proxy) faria muita diferença.
att,
Bruno Pinheiro
-
Olá!
Primeiro, você quer uma resposta precisa sem fornecer dados importantes:
1 - Qual a banda dessa conexão de Fibra?
2 - É conexão dedicada?
3 - Qual jogo você vai hospedar? Isso pode influenciar na lógica do teu Firewall.Eu tenho servidores PFSense segurando 90 usuários de uma rede em duas conexões, servindo VPN com outros pontos, com Squid+SquidGuard, Samba com Winbind, SNORT, duas conexões de 30Mpps tudo sem afetar a latência.
O hardware que você passou, em termos de desempenho é suficiente para segurar muitos usuários(veja minhas observações abaixo), desde que não haja defeito no mesmo. Porém, o principal fator ai é a placa de rede. Compre uma Intel ou pelo menos uma Broadcom. Nada de Realtek, Marwell, Atheros…
Como já citado, a lógica das regras influenciam muito no desempenho. Use Aliases e deixe as regras o mais objetivas e sucintas possível. Por exemplo, o PFSense por padrão aplica BLOCK a qualquer pacote que não tenha uma regra de firewall especificamente permitindo o trafego. Isso já elimina várias regras.
Acredito que você tenha criado um tópico sobre o uso de HD SSD um tempo atrás. Enfim, no seu cenário não vejo necessidade do uso de SSD, a não ser que você vá implementar o VARNISH ou algum tipo de Cache no PFSense. O SSD te propiciará melhor desempenho de inicialização, mas não em filtragem de pacotes. Tanto o firewall do PFSense, quanto o SNORT, trabalham com a memória RAM direto, justamente por questão de desempenho. Logo sairá mais barato e você terá uma vida útil maior do seu servidor utilizando um HD comum, "mecânico".
Eu investiria um pouco em memória RAM. 3GB poderiam se tornar 4GB. Importante ai implementar o PFSense 64 Bits e se ater ao barramento das memórias. Mantenha a paridade delas, todas com o mesmo barramento, melhor 800MHz. Confira se a sua placa mãe trabalha nos Slots da RAM nessa frequência.
A fonte de alimentação. Nada de fonte Coletek, MyMAX ou outra dessas genéricas. Abra o bolso e compre uma Termaltek, Corsair ou outra marca de sua preferência, mas que seja uma fonte de qualidade e com boa taxa de eficiência. E quando falo isso, não é uma fonte de 800W, é uma fonte de 400W que te entregue 400W, seja chaveada, possua correção de ruido e estabilização corretas.
No seu ambiente, pense na energia, você está saindo de um Roteador, com memória EPRON ou algo parecido, onde desligar e ligar não vai corromper o sistema. No PFSense, se a energia cair de repente você pode dar o azar de corromper algum arquivo importante e ter que formatar o PFSense. Então coloque um NoBreak nele, de boa qualidade, modelos voltados para ambiente SOHO no mínimo. Aterramento correto da tomada é outra coisa importante!
-
Muito boa as sugestões do Luiz.
. o PFSense por padrão aplica REJECT a qualquer pacote que não tenha uma regra de firewall especificamente permitindo o trafego.
Só corrigindo, por padrão o pfsense aplica um BLOCK e não um REJECT.
block drop in log inet all label "Default deny rule IPv4"
att,
Bruno Pinheiro
-
Só corrigindo, por padrão o pfsense aplica um BLOCK e não um REJECT.
block drop in log inet all label "Default deny rule IPv4"
att,
Bruno Pinheiro
Olá!
Verdade, editei minha postagem. Verifiquei nos Logs e a ação é Block.
-
Os ataques que recebo são UDP flood e as vezes Ip Spoofing
Hoje, no próprio dedicado dos jogos, tem o CSF rodando…. ele segura bem os ataques... porém quando estou sendo atacado, pega MUITO processamento e da lag....
O Jogos são Counter Strike, MineCraft, Team Fortress 2, Left 4 Dead.
E em todos os casos, preciso deixar tanto o UDP quanto o TCP abertos na mesma porta.
Exemplo: Abro um server de Counter Strike... na porta 27015, preciso deixar tanto TCP quanto UDP liberados!!!A Banda é Fibra, mas não é dedicada... Tenho 200 Mb Down e 100 Upload... quando não tem ataque, o que é raro, ela aguenta na boa.
A fonte é Thermaltake de 500W reais!LFCavalcanti, muito obrigado pelas dicas, alias… à todos.... você acha que compensa investir em um maquina mais nova?? E vc acha que mesmo com uma maquina mais "parruda", o PfSense segura esses ataques???
Pq assim... ataques de IP´s domésticos... nem faz cocegas... porém o cara vai e aluga um VPS nos EUA de 15,00 e tem 100 Mb de Upload... esse ja começa a fazer efeito... o CSF bloqueia... mas ja se percebe leves "travadas".Ai eu pegaria uma placa simples..... onboard... colocaria uma placa boa dessas de rede (Intel) com dual Lan... dessas que vc aconselhou.... Com uns 08 Gb de ram...
Mas meu medo é gastar e o PfSense não fazer o que promete.Regras... faço pouquíssimas... não chega a 10... basicamente faço NAT com Limite de conexões...
No meu caso, o Snort é necessário ?? Pq sinceramente, não entendo praticamente NADA dele.Essa placa seria boa?? http://produto.mercadolivre.com.br/MLB-570930777-placa-de-rede-intel-pro1000-pci-e-101001000-dual-port-_JM
Demonstração do log na hora do ataque
Abraços e obrigado
-
Olá!
Vamos entender o seguinte, a variação de latência vai ocorrer, não importa se você colocar um Juniper na tua rede, se o ataque for bem organizado eventualmente vai comprometer a latência dos teus servidores.
A questão do DDoS via spoofing é mais técnica, vou te passar dois links que achei interessantes, de uma lida neles e pesquise, esse tipo de coisa é complicado explicar e você pode acabar perdendo muito tempo esperando respostas num fórum, na internet a muito material a respeito. Enfim, os dois links:
http://rmeijer.home.xs4all.nl/spoofing.html
http://www.wedebugyou.com/2012/11/how-to-prevent-and-mitigate-ddos-part1/Sobre o PFSense, o sistema em si vai aguentar o tranco, tudo depende de você fazer a configuração certa. Feito isso, você no máximo terá a variação de latência que já experimenta hoje.
Outra coisa que você precisa ter em mente é que essa variação de latência também depende dos equipamentos do seu ISP, se o Router deles que é o Gateway do seu modem não der conta, a latência vai aumentar porque haverá Jitter lá.
Pelo que você me falou é um Link comum, não dedicado, então a chance é que você esteja ligado a um setor da rede deles que compartilha recursos e com certeza possui traffic shapping para balancear o trafego. Tenha isso em mente. -
Entendi… muito obrigado pela ajuda....
a placa que postei estaria boa/??
O PfSense tem limite para conexões TCP, mas UDP não tem???
-
Entendi… muito obrigado pela ajuda....
a placa que postei estaria boa/??
O PfSense tem limite para conexões TCP, mas UDP não tem???
A placa que você postou é boa, mas não excelente. A questão é que como é um PC montado, não adianta gastar com uma placa de rede caríssima, o conjunto não vai operar no mesmo nível. Isso não soou muito técnico eu sei, estou pensando mais no custo-beneficio.
Sobre o protocolo UDP, lembre-se que ele é "Stateless" ou seja, não possui uma conexão com correção de erro e etc, o que o PFSense mantém nesse caso é uma tabela com as conexões estabelecidas em camada 3.
Alguém me corrija por favor se a minha explicação sobre o UDP no caso está errada.
-
bOM… o Roteador que uso hoje... eh da propria vivo.,.... caseiro mesmo... e o CSF fica no dedicado, junto com o jogos !!!
De qualquer forma, esse PC não pode ser mais lento que o roteador da vivo neh?!?!?!?