Limitation nombre de requête TCP



  • Bonjour,

    J'ai un Pfsense 2.01 dans un boitier FWA-3030 de chez Osnet.

    Wan 1 : fibre optique Completel
    Wan 2 : ADSL freebox en backup.

    Mes amis de chez Completel m'annonce que mon modem fibre est bridée au niveau du nombre de requetête TCP :

    Merci de limiter votre trafic TCP à une valeur infèrieure des 10000 sessions maximum possibles sur les liens Completude IP

    Question :

    Puis-je limiter ce nombr de requête? leur durée  de vie?
    Si oui, comment puis-je limiter ce nombre de requête sur mon pfsense?
    Et puis-je suivre ce nombre de requête?

    D'avance merci.

    Nusa



  • Avant de me faire taper sur les doigts, je précise que j'ai fais des recherches qui m'ont amener aux éléments suivants :

    Sur la page d'accueil :

    State table size

    Est-ce le paramètre que je dois regarder?

    Ensuite j'ai ceci :

    http://doc.pfsense.org/index.php/How_can_I_increase_the_state_table_size%3F

    Mais je dois pas être bon (ou pas la bonne version) care je ne vois pas ce qui est expliqué ci-dessus.

    Nusa



  • Cela semble se confirmer :

    [2.0.1-RELEASE][root@pf]/root(1): pfctl  -sm
    states        hard limit  198000
    src-nodes    hard limit  198000
    frags        hard limit    5000
    tables        hard limit    1000
    table-entries hard limit  200000
    [2.0.1-RELEASE][root@pf]/root(2):

    Nusa



  • Pour une règle donnée : Advanced Options -> Maximum state entries this rule can create ?



  • OK merci.
    Je dois maintenant, avant de limiter ceci, regarder comment savoir si j’atteins cette limite d'où mon idée de supervision… car c'est bien de modifier un paramètre encore faut-il avoir les indicateurs pour savoir si cela a porté ces fruits...

    Nusa



  • J'en suis bien d'accord.



  • L'option avancée peut le faire je pense mais le truc "touchy" c'est qu'il faut que ca prenne en compte toutes les connexions TCP donc, le faire sur toutes les règles TCP à destination du LAN.
    Peut-être un truc sioux à tester sur la carte WAN avec les règles en "OUT"….



  • Merci Juve pour la précision.

    Je me demande comment je pourrais grappher le résultat de la commande :

    [2.0.1-RELEASE][root@pf]/root(1): pfctl  -sm
    states        hard limit  198000
    src-nodes    hard limit  198000
    frags        hard limit    5000
    tables        hard limit    1000
    table-entries hard limit  200000
    [2.0.1-RELEASE][root@pf]/root(2):

    Une idée par hasard?

    Nusa



  • Bonjour,

    Pouce ceux que cela intéresse, voici une discussion qui peut vous intéresser :

    http://forums.monitoring-fr.org/index.php/topic,6385.0.html

    Nusa



  • J'avance :

    root@shinken:~# snmpwalk -v 2c -c public IP-PF .1.3.6.1.4.1.12325.1.200.1.3.1
    iso.3.6.1.4.1.12325.1.200.1.3.1.0 = Gauge32: 3772
    root@shinken:~#

    Nusa



  • Re, j'ai avancé :

    C'est beau!!!

    D'un point de vu technique :

    J'ai utilisé PRTG, import de la MIB "BEGEMOT-PF-MIB.txt" :

    Déclaration d'une sonde SNMP personnalisé et ça roule.

    Nusa


Log in to reply