Limitando estados con tcp.established
-
¡Hola!
En los últimos 20 días he tenido dos rebasamientos de cantidad de estados (por defecto a 10000).
Hay varios caminos para evitar esto:
1. [System] [Advanced] [Firewall Maximum States] y poner un número mayor de 10000. Pero esto da por supuesto que tienes un hard que aguanta…
2. [System] [Advanced] [Firewall Optimization Options] y ponerlo en modo agresivo. ¡Qué miedo! Esto afectará a todas mis conexiones y puede que tenga algunas que se corten.
3. Ir a las reglas TCP que quiera limitar (el seguimiento de estados sólo tiene sentido con TCP), darle a [Advanced Options] y rellenar [State Timeout in seconds] con 3600 (una hora). En una escuela (mi caso) suele ser el tiempo máximo de conexión. Las reglas pondrán keep state (tcp.established 3600) en lugar de sólo keep state. El tcp.established por defecto es de 86400 s (24 horas).
Algunas órdenes interesantes en consola
Ver los timeouts aplicados a todas las reglas
pfctl -s timeoutsVer mis reglas mofdificadas
pfctl -s rules | grep "from <alias_empleado>"Ver mis estados con origen 192.168.XXX.YYY
pftop -f "src 192.168.XXX.YYY"Un manual para pftop: http://www.rootr.net/man/man/pftop/8
Un manual para pfctl: http://www.daemon-systems.org/man/pfctl.8.htmlEspero sirva de ayuda. La consola siempre es más compleja pero aporta más…
Estoy experimentando los cambios. Si no va como tengo previsto, avisaré. Si no digo nada, es que hace lo previsto, reducir el número de estados.
En http://forum.pfsense.org/index.php/topic,14497 tunean tcp.established tocando el código PHP de pfSense. Otra solución si se desea tocar las opciones generales en lugar de recurrir a la posibilidad (2).
Saludos,
Josep Pujadas</alias_empleado>
-
paselo a documentacion que es bien tipico que pase esto y creo que lo visto muchas veces por el foro preguntas sobre esto
saludos y gracias
-
¡Hola de nuevo!
Bueno, lo que expliqué sí sirve para hacer que las conexiones sin tráfico duren menos de 24 horas (que es el valor por defecto).
Pero he ido descubriendo que mi problema es otro y estoy en ello:
http://forum.pfsense.org/index.php/topic,35795.0.html (en inglés)
Parece que he avanzado bastante pero tengo dudas…
Saludos,
Josep Pujadas