Accélérer pfsense
-
Bonjour
je viens de passer à la fibre, j'ai 940mbps en me connectant directement à la livebox, je la connecte en WAN à mon routeur pfsense 4 core
mon routeur pfsense qui est derrière sature, donnant uniquement 800mbps à mon lan
le CPU monte à 30% quand je sature.
Comment je peux soulager pfsense ? typiquement j'aimerai désactiver le packet filtering, pas besoin. QUand je le fais, je j'arrive plus à ping ma livebox
MErci pour tout conseil
-
Mettre une machine plus robuste ...
-
Une observation très étonnante (ou pas) :
TOUS ceux qui ont posé ce genre de questions, sur ce forum (j'y suis depuis 10 ans et plus), n'ont JAMAIS jugé nécessaire (ou utile), lors de la question initiale, de fournir le moindre détail matériel sur la machine supportant pfSense.Il y a forcément une raison mais je n'en suis pas certain.
Il y a
- ceux qui ont virtualisé pfSense et pensent qu'une machine virtuelle dispose de toute la puissance (tant CPU que réseau),
- ceux qui ont un foudre de guerre avec des gigas de mémoire, mais qui ingorent le modèle de la carte réseau,
- ceux qui ignore le sens du mot driver et ses conséquences,
- ceux qui ignorent le type de processeur et la mémoire (et les innombrables fonctions) d'une box et qui jugent qu'en dessous d'un Xeon et de 32 G, on ne peut atteindre une vitesse décente.
La performance dépend de tant de facteurs que, sans aucune infos, je ne m'aventurerai pas sur les conseils, d'autant plus que la vitesse de pointe n'a rien à voir avec le nombre de chevaux.
Pour info, il est intéressant de lire les caractéristiques cpu/mémoire/débit des appliance Netgate ... : la plupart des appliances sont dotées de cpu Atom !
Pas besoin de packet filtering : beh oui c'est sûrement çà !! Installer un firewall sans filtrage de paquets, je n'y avais pas pensé ! La non réponse aux ping de la Livebox ne vous semble pas claire justement ?
NB : il a des cartes qui font du 'offloading', qu'est ce que cela peut signifier ? et existe-t-il des drivers FreeBSD supportant de telles cartes ?
Définitivent Mister-Magoo est le meilleur et le plus succint. (Ce n'est pas ironique, du tout)
-
Totalement d'accord avec @jdh, surtout sur le packet filterring ...
Il y a rien de tel pour mettre à genoux une machine, surtout si on active beaucoup de règles.
C'est une fonction à utiliser en connaissance de cause et pour des usages bien précis...Pour le reste, totalement d'accord ...
-
Finie l'ironie !
Depuis la doc : https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.htmlDisable Firewall
When Disable all packet filtering is set, the firewall becomes a routing-only platform. This is accomplished by disabling pf entirely, and as a consequence, NAT is disabled since it is also handled by pf.
Un firewall qui ne ferait pas de 'packet firewalling' devient juste un routeur ... et le débit devient nul.