Traffik-Beschränkungen??



  • Hallo,

    wir planen pfsense als zweite Firewall zur Absicherung der DMZ einsetzen.
    Die Installation auf einem 3 GHz Rechner mit 1 GB RAM und einer 4-Ethernet 100/1000 Karte
    war problemlos.

    In der Testphase gibt es eine FW-Regel any - any - accept, d.h. jede Verbindung ist erlaubt.
    Nach Einbau des Rechners i.d. interne Netz nach Betriebsschluss hat im Test alles funktioniert.
    Am nächsten Tag, nachdem ca. 100 PC's hochgefahren waren, gab es Probleme beim E-Mail-Abruf.
    Das E-Mail wird in einem RZ gehostet, d.h. ca. 100 Mitarbeiter greifen auf die gleiche IP zu.
    Manche Verbindungen gingen andere nicht. Es sieht so aus, als ob nur eine best. Anzahl von
    Verbindungen zur gleichen IP zugelassen sind.
    Ist dem so, und wenn ja, wie kann dies geändert werden?

    Vielen Dank.

    ka



  • Hi,

    haben eure Rechner normalerweiße Public IP's nach aussen? Da pfsense standardmässig im NAT Modus arbeitet greifen jetzt die 100 PCs mit der gleichen IP von pfsense auf den E-Mail Server zu und der macht dann irgendwie zu. Nur so ne Idee…

    Hier sind es nur ca. 20 PC's hinter pfsense. Keine Probleme beim E-Mail abruf.



  • Schau mal unter: Firewall | Rules im LAN-Tab.
    Editiere die Regel für eMail (oder die default any -> any halt) und clicke auf 'Advanced'.
    Dort lässt sich ein Limit einstellen, das üblicherweise aber nicht gesetzt ist.

    Zusätzlich lassen sich unter: System | Advanced  die 'Firewall Optimization Options' ändern.
    Dort würde ich einmal auf 'conservative' umschalten, Deine Hardware sollte das hergeben.

    Wie ist denn die Auslastung der Interfaces, CPU, States etc. in dem kritischen Augenblick?
    Das DashBoard (erhältlich als zusätzliches Package) verschafft hier u.U. schnell einen Überblick.



  • Hallo,

    vielen Dank erst einmal,

    es wird einige Tage dauern, bis ich es testen kann.

    bis dahin

    ka



  • Hallo,

    die o.g. Vorschläge sind getestet, es hat leider nicht geholfen.

    Beim Test traten folgende Meldungen auf:

    tcp 10.0.0.1:443 <- 192.168.101.1:26895 CLOSED:SYN_SENT 
    tcp 10.0.0.1:443 <- 192.168.101.1:27151 CLOSED:SYN_SENT 
    tcp 10.0.0.1:443 <- 192.168.101.1:27407 ESTABLISHED:ESTABLISHED 
    tcp 10.0.0.1:443 <- 192.168.101.1:27663 CLOSED:SYN_SENT

    10.0.0.1 ist der Mailserver  extern  (die IP-Nr. ist geändert)

    192.168.101.1 ist die interne Schnittstelle

    Die Reihenfolge ist:

    Firewall1(192.168.101.1) – (192.168.101.2) pfSense (externe IP) -- (externe IP) Router -> Internet    ---->  10.0.0.1(Mailserver)

    Bei gleichen Einstellungen werden einige  Outlook - Exchange Verbindungen hergestellt,
    andere nicht.

    Ohne die pfSense FW gibt es keine Probleme, wir würden sie aber gerne zusätzlich einsetzen.

    Weis jemand, wie das Verhalten der FW geändert werden kann?

    ka



  • @jochen123:

    … Da pfsense standardmässig im NAT Modus arbeitet greifen jetzt die 100 PCs mit der gleichen IP von pfsense auf den E-Mail Server zu und der macht dann irgendwie zu. Nur so ne Idee...

    Über advanced outbound NAT kann man dafür sorgen, daß zwischen den Interfaces geroutet und nicht genatttet wird. Dann brauchst Du aber zusätzlich Routen auf der externen Firewall.

    Ich würde eher vorschlagen nur EINE Firewall zu benutzen mit 2 internen Netzen (DMZ und LAN). Das vereinfacht die Sache ungemein. In der jetzigen Konstellation könnte das Problem überall liegen, auch auf der externen Firewall, die womöglich ein Verbindungslimit pro IP hat, falls die pfSense wirklich im NAT-Modus läuft.



  • tcp 10.0.0.1:443 <- 192.168.101.1:26895 CLOSED:SYN_SENT 
    tcp 10.0.0.1:443 <- 192.168.101.1:27151 CLOSED:SYN_SENT 
    tcp 10.0.0.1:443 <- 192.168.101.1:27407 ESTABLISHED:ESTABLISHED 
    tcp 10.0.0.1:443 <- 192.168.101.1:27663 CLOSED:SYN_SENT

    Diese Meldungen tauchen i.d. pfsense FW auf.

    Für mich sieht es so aus, dass einige wenige Verbindungen  ESTABLISHED:ESTABLISHED 
    sind, die meisten aber  CLOSED:SYN_SENT

    Die pfsense FW soll zusätzlich eingesetzt werden zur Absicherung der DMZ,
    sie wäre dann die externe FW.

    Die alte FW bleibt weiter aktiv, läuft auch schon seit Jahren ohne Probleme,
    es gibt hier keine Verbindungslimits.



  • Wenn Du genau wissen willst, was diese Stateinformationen zu bedeuten haben schau mal hier nach: http://blog.pfsense.org/?p=137 . Diese Verbindungen können auch von außen geschlossen werden oder vom Server oder vom Client. Die Frage mit dem NAT hast Du immer noch nicht beantwortet  ;)


Locked