Débit réduit avec Règles de Pare-Feu LAN
-
Bonjour tout le monde,
Nous utilisons PFSsense dans le cadre d'une entreprise, pour cela nous avons monté cet os sur une vieille machine dont voici la config :Processeur Intel Core 2 Duo E7200 2.53Ghz -
RAM 3 Go DDR2 -
Disque dur 250- Carte réseau LOGILINK pc0075
- Carte réseau TP LINK TG-3468
Seul la carte LOGILINK est utilisé et configuré:
- 1 port pour la sortie WAN
- 1 port pour la sortie LAN.
Ma question est la suivante :
Nous avons fait 2 testdebit.info via le site –> https://testdebit.info/
Un AVEC des règles Firewall LAN avec le résultat suivant :Download 25 Mb/s Upload 60 Mb/s
Un SANS les règles Firewall LAN avec le résultat suivant : Download 89 Mb/s Upload 93 Mb/s
Les perfs avec règles Firewall LAN sont à ~30% en dl et ~60% en up, comment cette chute de débit peut s'expliquer? Carte réseau pas assez puissante ? Processeur trop léger?
Merci par avance de vos réponses.
-
"Avec et sans les règles FW" ???
Tu peux expliquer un peu plus ?
-
Dans l'onglet Firewall –> LAN
J'ai activé, puis désactivé toutes les règles présentes.
Un essai avec les règles LAN désactivées et un avec toutes les règles actives, et une variance de débit assez conséquente.
-
Certes mais si tu n'explique pas ce que sont ces règles, si tu utilises un truc genre proxy (par exemple) et si tu as regardé la charge CPU… (par exemple également) il n'y a pas beaucoup de commentaires à faire.
Pourquoi ne pas t'aider de ce formulaire pour décrire ton environnement et le problème auquel tu penses faire face ?
-
Le CPU est utilisé à 1%
J'ai 20 règles FIREWALL LAN qui autorise en sortie : le port 80 le port 53 le 443 et d'autres.. et bloque tout le reste.
Si vous avez besoin de la liste complète je peux vous la donner. Après je vois pas ce que je peux vous donner d'autre.
Et dans le cas ou j'utilise le blocage en sortie mon débit baisse.
Le but étant d'interdire certains ports en sorties.
-
Donc si je comprends bien, pour faire ton test de débit "avec et sans", tu te contentes d'activer les règles HTTP(S) et DNS (ce qui est, à mon avis correct).
Ce serait quand même intéressant d'avoir le détail de, par exemple, la règle qui gère HTTPS, juste pour voir ;-)
utilises-tu des fonctions avancées comme la définition de la gateway en sortie / règle FW ?Après il y a quelques essais que tu peux faire comme par exemple passer soit le LAN soit le WAN du la carte tp-link.
-
La définition de la gateway en sortie il ne me semble pas. ???
Pour ma règle https :
Vous voulez voir la liste complète des ports que j'autorise en sortie?
-
Vous voulez voir la liste complète des ports que j'autorise en sortie?
Pas nécessairement. Ce qui serait peut-être bien, c'est de limiter le champ des investigations en réduisant le nombre de cas de figure.
Si tu n'as, par exemple, que 4 règles:
3 qui autorisent DNS et HTTP(S)
et une (à la fin) qui interdit tout le resteest-ce que le phénomène est identique ?
Si oui, il faut peut-être regarder au niveau du système ce qui se passe pour comprendre.
Attention également à un point: ne pas porter de jugement sur la performance avec une seule mesure, surtout au travers de ADSL. Il peut y avoir des variations de débit indépendantes de ton infra interne. -
Une règle qui interdit?
Par défaut s'il n'y a pas de règles qui l'autorise tout est bloqué non?
En gros
DNS –> OK
HTTP--> OK
HTTPS--> OKSi j'ai que ces 3 règles tout le reste est bloqué non?
Dans ce cas la mon débit est lent,J'utilise cette règle pour ne pas avoir de filtrage en sortie
Et avec celle ci uniquement le débit est correct, mais plus de filtrage en sortie du coup…Désolé je début dans ce milieu la j'essaye d'être le plus clair et le plus précis possible.
-
Bonjour,
Plusieurs choses:
1/ les cartes à base realtek ont de très piètre performance
2/ Pour Wan : Box ou PppOe (quid du Mtu)
3/ 20 règles sur lan !!! vous étes passer totalement à coté d'une fonction essantielle => les ALIAS
Reprenez vos règles en utilisant les alias et en choisissant bien leur ordre ( les règles sont appliquer de haut en bas ET à la 1ère qui ''match'' le système ne vas pas voir plus loin)P.S : l'ordre idéal étant :
- les block
- DNS
- Surf
- Mails
- Autre
Cdt
EDIT : attention à la règle Dns, il faut qu'elle soit TCP/UDP car dans certain cas TCP seul ne suffit pas ^^
-
Bonjour,
Plusieurs choses:
1/ les cartes à base realtek ont de très piètre performance
2/ Pour Wan : Box ou PppOe (quid du Mtu)
3/ 20 règles sur lan !!! vous étes passer totalement à coté d'une fonction essantielle => les ALIAS
Reprenez vos règles en utilisant les alias et en choisissant bien leur ordre ( les règles sont appliquer de haut en bas ET à la 1ère qui ''match'' le système ne vas pas voir plus loin)P.S : l'ordre idéal étant :
- les block
- DNS
- Surf
- Mails
- Autre
Cdt
EDIT : attention à la règle Dns, il faut qu'elle soit TCP/UDP car dans certain cas TCP seul ne suffit pas ^^
Bonjour et merci
1/ Quelles cartes réseaux vous conseillez d'acheter?
2/ Pour le WAN en IPV4 Statique une mtu 1500
3/ Nous avons bien crée l'alias de TYPE –> PORT avec le nom et les ports concerncés, mais lors de l'ajout d'une règle LAN dans le FIREWALL, ou le renseigner?
(la règle DNS est bien TCP/UDP)
-
1/ Quelles cartes réseaux vous conseillez d'acheter?
=> Intel
2/ Pour le WAN en IPV4 Statique une mtu 1500
=> impec/normal hors PppOe
3/ Nous avons bien crée l'alias de TYPE –> PORT avec le nom et les ports concerncés, mais lors de l'ajout d'une règle LAN dans le FIREWALL, ou le renseigner?
=> Tapez le nom de l'alias dans le champ : ''destination port''
(la règle DNS est bien TCP/UDP)
=> ;) (un pro^^)
-
Comme tout rentre, ou peut rentrer, en jeu, il est important de préciser le maximum de choses.
Je ne vois pas d'information précises sur- pfsense : quelle version, quelle architecture (86/64)
- matériel : quel type de matériel, quel config bios (mode safe/mode optimal)
- package installé : quel (de toute façon à éviter …)
- wan : fibre probablement mais quel fai
- ipv4/ipv6
- mode de test : de très nombreux conseils (très) intéressants sur le site indiqué, lequels sont choisis ? (perso, je préconiserai 1. Linux et 2. wget -O /dev/null ftp:// ou ftp directement)
Je ne suis pas très surpris par des écarts de performance car on peut les observer sur le réseau local (exemple : ftp sur serveur ftp sous linux/ext4 versus partage windows sur serveur windows/ntfs).
Il va de soi qu'avec une connexion fibre, pour une entreprise, il est judicieux de penser 'vrai' serveur, carte réseaux intel et processeur xeon.
Tout matériel 'contraire' ne saurait servir de référence.Parmi les conseils donnés, il est judicieux de bien ordonner ses règles et d'utiliser les alias ...; bien sur le MTU doit être bien configuré (généralement c'est au fai de gérer).
Personnellement, je ne vois pas pourquoi on devrait autoriser du dns sortant : un serveur dns interne (sérieux) est à conseiller ! (FYI il est possible pour les petits malins de réaliser un vpn 'perso' basé sur dns !)
-
Une règle qui interdit?
Par défaut s'il n'y a pas de règles qui l'autorise tout est bloqué non?oui bien sûr :) :-[
Si je fais deux choses à la fois quand je réponds 8)j'étais en train de faire une conf de Squid. misère !
Comme le fait remarquer jdh, les conseils suggérés par le site que tu utilises sont judicieux et les explications claires.
A mon avis, l'important n'est pas tant de mesurer le débit maximum effectif par rapport à ce que ton FAI te vend mais de comprendre pourquoi l'écart de débit, à condition de mesure identique, est si important selon que tu mettes en œuvre ou pas des règles sur l'interface LAN.
Je ne pense pas qu'il soit possible d'avancer significativement si tu ne montres à chaque fois que des informations très partielles comme la copie d'écran d'une seule règle.
Ma compréhension de la situation telle que tu l'expliques:
- avec une règle qui autorise "any to any", pas de problème de débit
- si tu restreints les ports de destination, chute significative du débit
-
Bonjour,
Merci pour vos reps, chris4916 oui tu as compris ma situation.Pour les cartes INTEL quel chipset? Un modèle de carte à me conseiller?
Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux, que j'essaye en utilisant les alias et le bon ordre au niveau de mes règles LAN du Firewall et en épurant celles-ci, d'autres propositions?
Voici ma config:
Version 2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15You are on the latest version.
CPU Type Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
2 CPUs: 1 package(s) x 2 core(s)De plus mon FAI fibre est Completel
-
Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux
Si je comprend bien vous utilisez une seule carte physique avec 2 ip pour Lan et Wan ?
Seul la carte LOGILINK est utilisé et configuré:
- 1 port pour la sortie WAN
- 1 port pour la sortie LAN.
Ou bien serait-ce une carte dual port ?
Quand cela sera éclairci …
Il n'est pas improbable que deux cartes physiques Intel type Pro 1000 changent significativement les performances. -
Bonjour,
Oui 1 carte réseau LOGILINK avec une interface WAN et une LAN donc dual portPour la carte Intel PT GT OU CT?
C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?
-
Même si le choix d'un chip Intel pour la carte réseau est, dans l'absolu, un très bon conseil, (Realtek n'étant parfois pas très bien supporté) à mon avis il faut dissocier cet aspect "optimisation" du problème que tu rencontres.
En effet, si tu avais un problème de support de ta carte réseau, celui-ci existerait indépendamment des tes règles FW.
De même, ma proposition initiale qui est d'essayer en utilisant les 2 cartes pour s'assurer qu'il n'y a pas un souci de contention ou de mauvais support du hardware n'a pas beaucoup de sens, à la réflexion, si tout fonctionne bien avec une règle "allow any to any".
C'est pourquoi je pense plus utile, dans un premier temps, de ce consacrer aux règles.
Pour information, je viens de faire quelques essais de débit en m'appuyant sur le site que tu mets en lien et quelques essais avec speedtest.net
Les essais sont effectués depuis mon laptop en wifi via un point d'accès connecté à pfSense puis une liaison FTTH 100Mb/s
je n'ai changé aucun paramètre entre les différentes tests
je n'utilise pas de proxy pour les tests- sur testdebit.info, j'ai un ping à 13ms, upload assez stable autour de 60 Mb/s et un download qui varie de 18 à 52Mb/s (18, 30 et 52 sur 3 tests à 5 minutes d'intervalle)
- sur speedtest.net, un ping à 6ms, upload autour de 60Mb/s également et un download qui varie entre 55Mb/s et 60Mb/s
ce que je veux illustrer par là, au delà des valeurs brutes qui n'ont pas un grand intérêt dans ces conditions de test, c'est la variabilité du résultat.
EDIT: pour compléter le test ci-dessus, je l'ai refais depuis une machine connectée sur le LAN (réseau 1 Gb/s).
toujours vers tesdebit.info, ping à 12ms, upload à 95Mb/s et download à 99,99Mb/s (ce qui me parait très bizarre quand même).
A préciser que dans les 2 cas, je me suis contenté de cliquer sur le lien par défaut pour lancer le test et que les 2 machines sont des Win7 avec Firefox. -
C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?
Séparées.
-
Concernant les cartes réseau, (pour compléter ccnet) :
-
les meilleurs chipset sont Intel, donc à privilégier les cartes Intel Pro 1000 (DT ou autres)
-
l'idéal est N cartes simple port : chacune a son chipset
-
une carte dual port (ou quad port) utilise une seul puce (au mieux 2 pour quad port) : la performance est inférieure à 2 ou 4 puces (2 ou 4 cartes simple port)
-
la performance aurait pu être meilleure avec WAN et LAN sur LOGILINK et TPLink (plutôt que sur les 2 ports de la LOGILINK) : raison évoqué au dessus
-
les cartes LOGILINK ou TPLink sont 'exotiques' et ne devraient pas être utilisé en contexte pro : j'ignore la qualité des drivers BSD pour ces cartes
NB : la référence indiquée (LOGILINK pc0075) indique bien dual port, ce qui colle avec le 'texte' ('seule carte est utilisée').
-
