Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Débit réduit avec Règles de Pare-Feu LAN

    Scheduled Pinned Locked Moved Français
    32 Posts 6 Posters 4.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      LudoS4
      last edited by

      Bonjour tout le monde,
      Nous utilisons PFSsense dans le cadre d'une entreprise, pour cela nous avons monté cet os sur une vieille machine dont voici la config :

      Processeur Intel Core 2 Duo E7200 2.53Ghz -
      RAM 3 Go DDR2 -
      Disque dur 250

      • Carte réseau LOGILINK pc0075
      • Carte réseau TP LINK TG-3468

      Seul la carte LOGILINK est utilisé et configuré:

      • 1 port pour la sortie WAN
      • 1 port pour la sortie LAN.

      Ma question est la suivante :

      Nous avons fait 2 testdebit.info via le site –> https://testdebit.info/

      Un AVEC des règles Firewall LAN avec le résultat suivant :Download 25 Mb/s Upload 60 Mb/s

      Un SANS les règles Firewall LAN avec le résultat suivant : Download 89 Mb/s Upload 93 Mb/s

      Les perfs avec règles Firewall LAN sont à ~30% en dl et ~60% en up, comment cette chute de débit peut s'expliquer? Carte réseau pas assez puissante ? Processeur trop léger?

      Merci par avance de vos réponses.

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        "Avec et sans les règles FW"  ???

        Tu peux expliquer un peu plus ?

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • L
          LudoS4
          last edited by

          Dans l'onglet Firewall –> LAN

          J'ai activé, puis désactivé toutes les règles présentes.

          Un essai avec les règles LAN désactivées et un avec toutes les règles actives, et une variance de débit assez conséquente.

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            Certes mais si tu n'explique pas ce que sont ces règles, si tu utilises un truc genre proxy (par exemple) et si tu as regardé la charge CPU… (par exemple également) il n'y a pas beaucoup de commentaires à faire.

            Pourquoi ne pas t'aider de ce formulaire pour décrire ton environnement et le problème auquel tu penses faire face ?

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • L
              LudoS4
              last edited by

              Le CPU est utilisé à 1%

              J'ai 20 règles FIREWALL LAN qui autorise en sortie : le port 80 le port 53 le 443 et d'autres.. et bloque tout le reste.

              Si vous avez besoin de la liste complète je peux vous la donner. Après je vois pas ce que je peux vous donner d'autre.

              Et dans le cas ou j'utilise le blocage en sortie mon débit baisse.

              Le but étant d'interdire certains ports en sorties.

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                Donc si je comprends bien, pour faire ton test de débit "avec et sans", tu te contentes d'activer les règles HTTP(S) et DNS (ce qui est, à mon avis correct).

                Ce serait quand même intéressant d'avoir le détail de, par exemple, la règle qui gère HTTPS, juste pour voir ;-)
                utilises-tu des fonctions avancées comme la définition de la gateway en sortie / règle FW ?

                Après il y a quelques essais que tu peux faire comme par exemple passer soit le LAN soit le WAN du la carte tp-link.

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • L
                  LudoS4
                  last edited by

                  La définition de la gateway en sortie il ne me semble pas.  ???

                  Pour ma règle https :

                  Vous voulez voir la liste complète des ports que j'autorise en sortie?

                  1 Reply Last reply Reply Quote 0
                  • C
                    chris4916
                    last edited by

                    @LudoS4:

                    Vous voulez voir la liste complète des ports que j'autorise en sortie?

                    Pas nécessairement.  Ce qui serait peut-être bien, c'est de limiter le champ des investigations en réduisant le nombre de cas de figure.
                    Si tu n'as, par exemple, que 4 règles:
                    3  qui autorisent DNS et HTTP(S)
                    et une (à la fin) qui interdit tout le reste

                    est-ce que le phénomène est identique ?

                    Si oui, il faut peut-être regarder au niveau du système ce qui se passe pour comprendre.
                    Attention également à un point: ne pas porter de jugement sur la performance avec une seule mesure, surtout au travers de ADSL. Il peut y avoir des variations de débit indépendantes de ton infra interne.

                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                    1 Reply Last reply Reply Quote 0
                    • L
                      LudoS4
                      last edited by

                      Une règle qui interdit?

                      Par défaut s'il n'y a pas de règles qui l'autorise tout est bloqué non?

                      En gros
                      DNS –> OK
                      HTTP--> OK
                      HTTPS--> OK

                      Si j'ai que ces 3 règles tout le reste est bloqué non?
                      Dans ce cas la mon débit est lent,

                      J'utilise cette règle pour ne pas avoir de filtrage en sortie

                      Et avec celle ci uniquement le débit est correct, mais plus de filtrage en sortie du coup…

                      Désolé je début dans ce milieu la j'essaye d'être le plus clair et le plus précis possible.

                      1 Reply Last reply Reply Quote 0
                      • B
                        baalserv
                        last edited by

                        Bonjour,

                        Plusieurs choses:

                        1/ les cartes à base realtek ont de très piètre performance

                        2/ Pour Wan : Box ou PppOe (quid du Mtu)

                        3/ 20 règles sur lan !!! vous étes passer totalement à coté d'une fonction essantielle => les ALIAS
                        Reprenez vos règles en utilisant les alias et en choisissant bien leur ordre ( les règles sont appliquer de haut en bas ET à la 1ère qui ''match'' le système ne vas pas voir plus loin)

                        P.S : l'ordre idéal étant :

                        • les block
                        • DNS
                        • Surf
                        • Mails
                        • Autre

                        Cdt

                        EDIT : attention à la règle Dns, il faut qu'elle soit TCP/UDP car dans certain cas TCP seul ne suffit pas ^^

                        Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                        1 Reply Last reply Reply Quote 0
                        • L
                          LudoS4
                          last edited by

                          @baalserv:

                          Bonjour,

                          Plusieurs choses:

                          1/ les cartes à base realtek ont de très piètre performance

                          2/ Pour Wan : Box ou PppOe (quid du Mtu)

                          3/ 20 règles sur lan !!! vous étes passer totalement à coté d'une fonction essantielle => les ALIAS
                          Reprenez vos règles en utilisant les alias et en choisissant bien leur ordre ( les règles sont appliquer de haut en bas ET à la 1ère qui ''match'' le système ne vas pas voir plus loin)

                          P.S : l'ordre idéal étant :

                          • les block
                          • DNS
                          • Surf
                          • Mails
                          • Autre

                          Cdt

                          EDIT : attention à la règle Dns, il faut qu'elle soit TCP/UDP car dans certain cas TCP seul ne suffit pas ^^

                          Bonjour et merci

                          1/ Quelles cartes réseaux vous conseillez d'acheter?

                          2/ Pour le WAN en IPV4 Statique une mtu 1500

                          3/ Nous avons bien crée l'alias de TYPE –> PORT avec le nom et les ports concerncés, mais lors de l'ajout d'une règle LAN dans le FIREWALL, ou le renseigner?

                          (la règle DNS est bien TCP/UDP)

                          1 Reply Last reply Reply Quote 0
                          • B
                            baalserv
                            last edited by

                            1/ Quelles cartes réseaux vous conseillez d'acheter?

                            => Intel

                            2/ Pour le WAN en IPV4 Statique une mtu 1500

                            => impec/normal hors PppOe

                            3/ Nous avons bien crée l'alias de TYPE –> PORT avec le nom et les ports concerncés, mais lors de l'ajout d'une règle LAN dans le FIREWALL, ou le renseigner?

                            => Tapez le nom de l'alias dans le champ : ''destination port''

                            (la règle DNS est bien TCP/UDP)

                            =>  ;) (un pro^^)

                            Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                            1 Reply Last reply Reply Quote 0
                            • J
                              jdh
                              last edited by

                              Comme tout rentre, ou peut rentrer, en jeu, il est important de préciser le maximum de choses.
                              Je ne vois pas d'information précises sur

                              • pfsense : quelle version, quelle architecture (86/64)
                              • matériel : quel type de matériel, quel config bios (mode safe/mode optimal)
                              • package installé : quel (de toute façon à éviter …)
                              • wan : fibre probablement mais quel fai
                              • ipv4/ipv6
                              • mode de test : de très nombreux conseils (très) intéressants sur le site indiqué, lequels sont choisis ? (perso, je préconiserai 1. Linux et 2. wget -O /dev/null ftp:// ou ftp directement)

                              Je ne suis pas très surpris par des écarts de performance car on peut les observer sur le réseau local (exemple : ftp sur serveur ftp sous linux/ext4 versus partage windows sur serveur windows/ntfs).

                              Il va de soi qu'avec une connexion fibre, pour une entreprise, il est judicieux de penser 'vrai' serveur, carte réseaux intel et processeur xeon.
                              Tout matériel 'contraire' ne saurait servir de référence.

                              Parmi les conseils donnés, il est judicieux de bien ordonner ses règles et d'utiliser les alias ...; bien sur le MTU doit être bien configuré (généralement c'est au fai de gérer).

                              Personnellement, je ne vois pas pourquoi on devrait autoriser du dns sortant : un serveur dns interne (sérieux) est à conseiller ! (FYI il est possible pour les petits malins de réaliser un vpn 'perso' basé sur dns !)

                              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                              1 Reply Last reply Reply Quote 0
                              • C
                                chris4916
                                last edited by

                                @LudoS4:

                                Une règle qui interdit?
                                Par défaut s'il n'y a pas de règles qui l'autorise tout est bloqué non?

                                oui bien sûr  :) :-[
                                Si je fais deux choses à la fois quand je réponds  8)

                                j'étais en train de faire une conf de Squid.  misère !

                                Comme le fait remarquer jdh, les conseils suggérés par le site que tu utilises sont judicieux et les explications claires.

                                A mon avis, l'important n'est pas tant de mesurer le débit maximum effectif par rapport à ce que ton FAI te vend mais de comprendre pourquoi l'écart de débit, à condition de mesure identique, est si important selon que tu mettes en œuvre ou pas des règles sur l'interface LAN.

                                Je ne pense pas qu'il soit possible d'avancer significativement si tu ne montres à chaque fois que des informations très partielles comme la copie d'écran d'une seule règle.

                                Ma compréhension de la situation telle que tu l'expliques:

                                • avec une règle qui autorise "any to any", pas de problème de débit
                                • si tu restreints les ports de destination, chute significative du débit

                                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                1 Reply Last reply Reply Quote 0
                                • L
                                  LudoS4
                                  last edited by

                                  Bonjour,
                                  Merci pour vos reps, chris4916 oui tu as compris ma situation.

                                  Pour les cartes INTEL quel chipset? Un modèle de carte à me conseiller?

                                  Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux, que j'essaye en utilisant les alias et le bon ordre au niveau de mes règles LAN du Firewall et en épurant celles-ci, d'autres propositions?

                                  Voici ma config:

                                  Version 2.2.4-RELEASE (amd64)
                                  built on Sat Jul 25 19:57:37 CDT 2015
                                  FreeBSD 10.1-RELEASE-p15

                                  You are on the latest version.
                                  CPU Type Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
                                  2 CPUs: 1 package(s) x 2 core(s)

                                  De plus mon FAI fibre est Completel

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    ccnet
                                    last edited by

                                    Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux

                                    Si je comprend bien vous utilisez une seule carte physique avec 2 ip pour Lan et Wan ?

                                    Seul la carte LOGILINK est utilisé et configuré:

                                    • 1 port pour la sortie WAN
                                    • 1 port pour la sortie LAN.

                                    Ou bien serait-ce une carte dual port ?

                                    Quand cela sera éclairci …
                                    Il n'est pas improbable que deux cartes physiques Intel type Pro 1000 changent significativement les performances.

                                    1 Reply Last reply Reply Quote 0
                                    • L
                                      LudoS4
                                      last edited by

                                      Bonjour,
                                      Oui 1 carte réseau LOGILINK avec une interface WAN et une LAN donc dual port

                                      Pour la carte Intel PT GT OU CT?

                                      C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?

                                      1 Reply Last reply Reply Quote 0
                                      • C
                                        chris4916
                                        last edited by

                                        Même si le choix d'un chip Intel pour la carte réseau est, dans l'absolu, un très bon conseil, (Realtek n'étant parfois pas très bien supporté) à mon avis il faut dissocier cet aspect "optimisation" du problème que tu rencontres.

                                        En effet, si tu avais un problème de support de ta carte réseau, celui-ci existerait indépendamment des tes règles FW.

                                        De même, ma proposition initiale qui est d'essayer en utilisant les 2 cartes pour s'assurer qu'il n'y a pas un souci de contention ou de mauvais support du hardware n'a pas beaucoup de sens, à la réflexion, si tout fonctionne bien avec une règle "allow any to any".

                                        C'est pourquoi je pense plus utile, dans un premier temps, de ce consacrer aux règles.

                                        Pour information, je viens de faire quelques essais de débit en m'appuyant sur le site que tu mets en lien et quelques essais avec speedtest.net

                                        Les essais sont effectués depuis mon laptop en wifi via un point d'accès connecté à pfSense puis une liaison FTTH 100Mb/s
                                        je n'ai changé aucun paramètre entre les différentes tests
                                        je n'utilise pas de proxy pour les tests

                                        • sur testdebit.info, j'ai un ping à 13ms, upload assez stable autour de 60 Mb/s et un download qui varie de 18 à 52Mb/s (18, 30 et 52 sur 3 tests à 5 minutes d'intervalle)
                                        • sur speedtest.net, un ping à 6ms, upload autour de 60Mb/s également et un download qui varie entre 55Mb/s et 60Mb/s

                                        ce que je veux illustrer par là, au delà des valeurs brutes qui n'ont pas un grand intérêt dans ces conditions de test, c'est la variabilité du résultat.

                                        EDIT: pour compléter le test ci-dessus, je l'ai refais depuis une machine connectée sur le LAN (réseau 1 Gb/s).
                                        toujours vers tesdebit.info, ping à 12ms, upload à 95Mb/s et download à 99,99Mb/s (ce qui me parait très bizarre quand même).
                                        A préciser que dans les 2 cas, je me suis contenté de cliquer sur le lien par défaut pour lancer le test et que les 2 machines sont des Win7 avec Firefox.

                                        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                        1 Reply Last reply Reply Quote 0
                                        • C
                                          ccnet
                                          last edited by

                                          C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?

                                          Séparées.

                                          1 Reply Last reply Reply Quote 0
                                          • J
                                            jdh
                                            last edited by

                                            Concernant les cartes réseau, (pour compléter ccnet) :

                                            • les meilleurs chipset sont Intel, donc à privilégier les cartes Intel Pro 1000 (DT ou autres)

                                            • l'idéal est N cartes simple port : chacune a son chipset

                                            • une carte dual port (ou quad port) utilise une seul puce (au mieux 2 pour quad port) : la performance est inférieure à 2 ou 4 puces (2 ou 4 cartes simple port)

                                            • la performance aurait pu être meilleure avec WAN et LAN sur LOGILINK et TPLink (plutôt que sur les 2 ports de la LOGILINK) : raison évoqué au dessus

                                            • les cartes LOGILINK ou TPLink sont 'exotiques' et ne devraient pas être utilisé en contexte pro : j'ignore la qualité des drivers BSD pour ces cartes

                                            NB : la référence indiquée (LOGILINK pc0075) indique bien dual port, ce qui colle avec le 'texte' ('seule carte est utilisée').

                                            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.