Bloqueo pfsense con CPU 100%, inteffaces de red copadas



  • Buen día Compañeros

    Yo tenia la version de pfsense 2.2.2 y realicé un upgrade a la 2.2.3, tengo 3 enlaces WAN con failover, dns resolver, openvpn, DMZ, 1 LAN, y cada día de por medio se bloquea el pfsense y toca reiniciar la máquina virtual ya que el procesador llega al 100%, las interfaces WAN muestran un tráfico muy alto, realicé upgrade a la 2.2.4 y sigue la falla, reinstale nuevamente de cero  la 2.2.4 y persiste la falla, adjunto los logs del system, para que me ayuden por favior
    log.txt



  • Hola esa ip 192.168.0.1 a que red corresponde?



  • Esa ip es de una WAN, sucede que 2 de los 3 enlaces son con 1 mismo proveedor, y dicho tiene su router que hace NAT, y pues por politicas no permiten asignar la ip directamente a pfsense, el otro proveedor si.



  • Buen día COmpañeros

    Verificando filter logs por ssh antes de que pfsense se bloqueara, verifique mucho bloqueo de trafico, al reiniciar y verificar por el sistema, el filtro de firewall, detecté que está intentando saltarse el firewall, entonces están intentndo hacer un flood a las interfaces, Explico, pfsense es una maquina virtual donde las 3 interfaces WAN están en un mismo bridge, entonces desde uno de los ISP inundan las interfaces de pfsense y creo que por eso se bloquea.

    Alguien sabe como prevenir flooding  de las interfaces de pfsense



  • Buen día

    Encontré en este hilo del foro una posible solución para mitigar:

    https://forum.pfsense.org/index.php?topic=84233.0
    http://www.sectechno.com/quick-tips-to-fight-ddos-attack/



  • Colegas buen día

    Podemas dar por solucionado este hilo, funcionó a la perfección, ya no pueden tumbar mi pfsense, ya toca que el ISP mitigue su problema.



  • Hola. Cuando puedas sería muy interesante que indiques cómo lograste resolver tu problema ya que puede servir de referencia para otros usuarios.

    Saludos



  • Buen día Colegas

    Lo que hice para solucionar el problema fue :

    En system -> Advanced -> system tunables, agregué lo que recomendaban  en http://www.sectechno.com/quick-tips-to-fight-ddos-attack/ para sistemas BSD :

    net.inet.icmp.icmplim Limits ICMP replies to 50 per second (protection against ICMP-flood) 2000

    kern.ipc.somaxconn Increase the maximum number of sockets to the server that can be open (protection against all types of DDoS) 32768

    net.inet.tcp.msl Reduce the packet request time (protection against SYN-flood) 7500

    Luego activé en en system -> Advanced ->networking  device Polling, ya que las tarjetas de mi servidor anfitrión la soportan, esto mejora la latencia de los enlaces wan (Cabe anotar que esto aumenta mas o menos 25% el consumo de cpu ).

    AL día siguiente de haber hecho esto, intentaron atacar y no pudieron hacerlo, 2 de los 3 enlaces se saturaron, pero el de salida a internet no, el pfsense estuvo estable con cpu al 25 %, solo fue reiniciar interfaces y listo, a la fecha no volvieron a intentar un ataque porque también llamé a los ISP y ellos debieron haber cambiado algo!!!. :)

    también supresión de paquetes ARP, ya que los 3 enlaces WAN están en el mismo dominio de broadcast ya que están conectados en una vlan del switch y las 3 interfaces del pfsense hacen parte de un bridge en el servidor anfitrión, y por último

    Disable hardware checksum offload esto lo recomiendan cuando se trabaja con KVM para virtualización, ( que en mi caso aplica.)