Débit réduit avec Règles de Pare-Feu LAN

LudoS4

Bonjour tout le monde,
Nous utilisons PFSsense dans le cadre d'une entreprise, pour cela nous avons monté cet os sur une vieille machine dont voici la config :

Processeur Intel Core 2 Duo E7200 2.53Ghz -
RAM 3 Go DDR2 -
Disque dur 250

• Carte réseau LOGILINK pc0075
• Carte réseau TP LINK TG-3468

Seul la carte LOGILINK est utilisé et configuré:

• 1 port pour la sortie WAN
• 1 port pour la sortie LAN.

Ma question est la suivante :

Nous avons fait 2 testdebit.info via le site –> https://testdebit.info/

Un AVEC des règles Firewall LAN avec le résultat suivant :Download 25 Mb/s Upload 60 Mb/s

Un SANS les règles Firewall LAN avec le résultat suivant : Download 89 Mb/s Upload 93 Mb/s

Les perfs avec règles Firewall LAN sont à ~30% en dl et ~60% en up, comment cette chute de débit peut s'expliquer? Carte réseau pas assez puissante ? Processeur trop léger?

Merci par avance de vos réponses.

chris4916

"Avec et sans les règles FW"  ???

Tu peux expliquer un peu plus ?

LudoS4

Dans l'onglet Firewall –> LAN

J'ai activé, puis désactivé toutes les règles présentes.

Un essai avec les règles LAN désactivées et un avec toutes les règles actives, et une variance de débit assez conséquente.

chris4916

Certes mais si tu n'explique pas ce que sont ces règles, si tu utilises un truc genre proxy (par exemple) et si tu as regardé la charge CPU… (par exemple également) il n'y a pas beaucoup de commentaires à faire.

Pourquoi ne pas t'aider de ce formulaire pour décrire ton environnement et le problème auquel tu penses faire face ?

LudoS4

Le CPU est utilisé à 1%

J'ai 20 règles FIREWALL LAN qui autorise en sortie : le port 80 le port 53 le 443 et d'autres.. et bloque tout le reste.

Si vous avez besoin de la liste complète je peux vous la donner. Après je vois pas ce que je peux vous donner d'autre.

Et dans le cas ou j'utilise le blocage en sortie mon débit baisse.

Le but étant d'interdire certains ports en sorties.

chris4916

Donc si je comprends bien, pour faire ton test de débit "avec et sans", tu te contentes d'activer les règles HTTP(S) et DNS (ce qui est, à mon avis correct).

Ce serait quand même intéressant d'avoir le détail de, par exemple, la règle qui gère HTTPS, juste pour voir ;-)
utilises-tu des fonctions avancées comme la définition de la gateway en sortie / règle FW ?

Après il y a quelques essais que tu peux faire comme par exemple passer soit le LAN soit le WAN du la carte tp-link.

LudoS4

La définition de la gateway en sortie il ne me semble pas.  ???

Pour ma règle https :

Vous voulez voir la liste complète des ports que j'autorise en sortie?

chris4916

@LudoS4:

Vous voulez voir la liste complète des ports que j'autorise en sortie?

Pas nécessairement.  Ce qui serait peut-être bien, c'est de limiter le champ des investigations en réduisant le nombre de cas de figure.
Si tu n'as, par exemple, que 4 règles:
3  qui autorisent DNS et HTTP(S)
et une (à la fin) qui interdit tout le reste

est-ce que le phénomène est identique ?

Si oui, il faut peut-être regarder au niveau du système ce qui se passe pour comprendre.
Attention également à un point: ne pas porter de jugement sur la performance avec une seule mesure, surtout au travers de ADSL. Il peut y avoir des variations de débit indépendantes de ton infra interne.

LudoS4

Une règle qui interdit?

Par défaut s'il n'y a pas de règles qui l'autorise tout est bloqué non?

En gros
DNS –> OK
HTTP--> OK
HTTPS--> OK

Si j'ai que ces 3 règles tout le reste est bloqué non?
Dans ce cas la mon débit est lent,

J'utilise cette règle pour ne pas avoir de filtrage en sortie

Et avec celle ci uniquement le débit est correct, mais plus de filtrage en sortie du coup…

Désolé je début dans ce milieu la j'essaye d'être le plus clair et le plus précis possible.

baalserv

Bonjour,

Plusieurs choses:

1/ les cartes à base realtek ont de très piètre performance

2/ Pour Wan : Box ou PppOe (quid du Mtu)

3/ 20 règles sur lan !!! vous étes passer totalement à coté d'une fonction essantielle => les ALIAS
Reprenez vos règles en utilisant les alias et en choisissant bien leur ordre ( les règles sont appliquer de haut en bas ET à la 1ère qui ''match'' le système ne vas pas voir plus loin)

P.S : l'ordre idéal étant :

• les block
• DNS
• Surf
• Mails
• Autre

Cdt

EDIT : attention à la règle Dns, il faut qu'elle soit TCP/UDP car dans certain cas TCP seul ne suffit pas ^^

LudoS4

@baalserv:

Bonjour,

Plusieurs choses:

1/ les cartes à base realtek ont de très piètre performance

2/ Pour Wan : Box ou PppOe (quid du Mtu)

3/ 20 règles sur lan !!! vous étes passer totalement à coté d'une fonction essantielle => les ALIAS
Reprenez vos règles en utilisant les alias et en choisissant bien leur ordre ( les règles sont appliquer de haut en bas ET à la 1ère qui ''match'' le système ne vas pas voir plus loin)

P.S : l'ordre idéal étant :

• les block
• DNS
• Surf
• Mails
• Autre

Cdt

EDIT : attention à la règle Dns, il faut qu'elle soit TCP/UDP car dans certain cas TCP seul ne suffit pas ^^

Bonjour et merci

1/ Quelles cartes réseaux vous conseillez d'acheter?

2/ Pour le WAN en IPV4 Statique une mtu 1500

3/ Nous avons bien crée l'alias de TYPE –> PORT avec le nom et les ports concerncés, mais lors de l'ajout d'une règle LAN dans le FIREWALL, ou le renseigner?

(la règle DNS est bien TCP/UDP)

baalserv

1/ Quelles cartes réseaux vous conseillez d'acheter?

=> Intel

2/ Pour le WAN en IPV4 Statique une mtu 1500

=> impec/normal hors PppOe

3/ Nous avons bien crée l'alias de TYPE –> PORT avec le nom et les ports concerncés, mais lors de l'ajout d'une règle LAN dans le FIREWALL, ou le renseigner?

=> Tapez le nom de l'alias dans le champ : ''destination port''

(la règle DNS est bien TCP/UDP)

=>  ;) (un pro^^)

jdh

Comme tout rentre, ou peut rentrer, en jeu, il est important de préciser le maximum de choses.
Je ne vois pas d'information précises sur

• pfsense : quelle version, quelle architecture (86/64)
• matériel : quel type de matériel, quel config bios (mode safe/mode optimal)
• package installé : quel (de toute façon à éviter …)
• wan : fibre probablement mais quel fai
• ipv4/ipv6
• mode de test : de très nombreux conseils (très) intéressants sur le site indiqué, lequels sont choisis ? (perso, je préconiserai 1. Linux et 2. wget -O /dev/null ftp:// ou ftp directement)

Je ne suis pas très surpris par des écarts de performance car on peut les observer sur le réseau local (exemple : ftp sur serveur ftp sous linux/ext4 versus partage windows sur serveur windows/ntfs).

Il va de soi qu'avec une connexion fibre, pour une entreprise, il est judicieux de penser 'vrai' serveur, carte réseaux intel et processeur xeon.
Tout matériel 'contraire' ne saurait servir de référence.

Parmi les conseils donnés, il est judicieux de bien ordonner ses règles et d'utiliser les alias ...; bien sur le MTU doit être bien configuré (généralement c'est au fai de gérer).

Personnellement, je ne vois pas pourquoi on devrait autoriser du dns sortant : un serveur dns interne (sérieux) est à conseiller ! (FYI il est possible pour les petits malins de réaliser un vpn 'perso' basé sur dns !)

chris4916

@LudoS4:

Une règle qui interdit?
Par défaut s'il n'y a pas de règles qui l'autorise tout est bloqué non?

oui bien sûr  :) :-[
Si je fais deux choses à la fois quand je réponds  8)

j'étais en train de faire une conf de Squid.  misère !

Comme le fait remarquer jdh, les conseils suggérés par le site que tu utilises sont judicieux et les explications claires.

A mon avis, l'important n'est pas tant de mesurer le débit maximum effectif par rapport à ce que ton FAI te vend mais de comprendre pourquoi l'écart de débit, à condition de mesure identique, est si important selon que tu mettes en œuvre ou pas des règles sur l'interface LAN.

Je ne pense pas qu'il soit possible d'avancer significativement si tu ne montres à chaque fois que des informations très partielles comme la copie d'écran d'une seule règle.

Ma compréhension de la situation telle que tu l'expliques:

• avec une règle qui autorise "any to any", pas de problème de débit
• si tu restreints les ports de destination, chute significative du débit

LudoS4

Bonjour,
Merci pour vos reps, chris4916 oui tu as compris ma situation.

Pour les cartes INTEL quel chipset? Un modèle de carte à me conseiller?

Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux, que j'essaye en utilisant les alias et le bon ordre au niveau de mes règles LAN du Firewall et en épurant celles-ci, d'autres propositions?

Voici ma config:

Version 2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15

You are on the latest version.
CPU Type Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
2 CPUs: 1 package(s) x 2 core(s)

De plus mon FAI fibre est Completel

ccnet

Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux

Si je comprend bien vous utilisez une seule carte physique avec 2 ip pour Lan et Wan ?

Seul la carte LOGILINK est utilisé et configuré:

• 1 port pour la sortie WAN
• 1 port pour la sortie LAN.

Ou bien serait-ce une carte dual port ?

Quand cela sera éclairci …
Il n'est pas improbable que deux cartes physiques Intel type Pro 1000 changent significativement les performances.

LudoS4

Bonjour,
Oui 1 carte réseau LOGILINK avec une interface WAN et une LAN donc dual port

Pour la carte Intel PT GT OU CT?

C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?

chris4916

Même si le choix d'un chip Intel pour la carte réseau est, dans l'absolu, un très bon conseil, (Realtek n'étant parfois pas très bien supporté) à mon avis il faut dissocier cet aspect "optimisation" du problème que tu rencontres.

En effet, si tu avais un problème de support de ta carte réseau, celui-ci existerait indépendamment des tes règles FW.

De même, ma proposition initiale qui est d'essayer en utilisant les 2 cartes pour s'assurer qu'il n'y a pas un souci de contention ou de mauvais support du hardware n'a pas beaucoup de sens, à la réflexion, si tout fonctionne bien avec une règle "allow any to any".

C'est pourquoi je pense plus utile, dans un premier temps, de ce consacrer aux règles.

Pour information, je viens de faire quelques essais de débit en m'appuyant sur le site que tu mets en lien et quelques essais avec speedtest.net

Les essais sont effectués depuis mon laptop en wifi via un point d'accès connecté à pfSense puis une liaison FTTH 100Mb/s
je n'ai changé aucun paramètre entre les différentes tests
je n'utilise pas de proxy pour les tests

• sur testdebit.info, j'ai un ping à 13ms, upload assez stable autour de 60 Mb/s et un download qui varie de 18 à 52Mb/s (18, 30 et 52 sur 3 tests à 5 minutes d'intervalle)
• sur speedtest.net, un ping à 6ms, upload autour de 60Mb/s également et un download qui varie entre 55Mb/s et 60Mb/s

ce que je veux illustrer par là, au delà des valeurs brutes qui n'ont pas un grand intérêt dans ces conditions de test, c'est la variabilité du résultat.

EDIT: pour compléter le test ci-dessus, je l'ai refais depuis une machine connectée sur le LAN (réseau 1 Gb/s).
toujours vers tesdebit.info, ping à 12ms, upload à 95Mb/s et download à 99,99Mb/s (ce qui me parait très bizarre quand même).
A préciser que dans les 2 cas, je me suis contenté de cliquer sur le lien par défaut pour lancer le test et que les 2 machines sont des Win7 avec Firefox.

ccnet

C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?

Séparées.

jdh

Concernant les cartes réseau, (pour compléter ccnet) :

• les meilleurs chipset sont Intel, donc à privilégier les cartes Intel Pro 1000 (DT ou autres)

• l'idéal est N cartes simple port : chacune a son chipset

• une carte dual port (ou quad port) utilise une seul puce (au mieux 2 pour quad port) : la performance est inférieure à 2 ou 4 puces (2 ou 4 cartes simple port)

• la performance aurait pu être meilleure avec WAN et LAN sur LOGILINK et TPLink (plutôt que sur les 2 ports de la LOGILINK) : raison évoqué au dessus

• les cartes LOGILINK ou TPLink sont 'exotiques' et ne devraient pas être utilisé en contexte pro : j'ignore la qualité des drivers BSD pour ces cartes

NB : la référence indiquée (LOGILINK pc0075) indique bien dual port, ce qui colle avec le 'texte' ('seule carte est utilisée').

LudoS4

Vous pouvez rapidement m'expliquer comment se configure un alias? Ma manière est-elle correcte? J'ai fais un seul essai avec plusieurs ports saisis dans un alias et ALLOW.

Mais le net ne fonctionné pas.

Destination port range il faut renseigner les 2 onglets?

chris4916

Si tu saisis les "from" et "to", ta règle va couvrir un intervalle. Avec un alias de type port tu devrais (mais je n'en utilises pas) te contenter de "from", lequel contient (je suppose car tu ne le montres pas) des valeurs multiples.

baalserv

Bonjour,

Pour l'alias c'est bon comme tu à fait en le renseignant dans ''from'' et ''to''

Par contre pour la source il est nettement préférable de la préciser (ex: lan subnet) plutôt que ANY

Cdt

LudoS4

Merci,
Lansubnet n'est pas disponible comme option je remplace par quoi?

Si je créer une règle regroupant mes ports lan Ethernet et que l'active avec l'alias de tous les ports concernés ça devrait fonctionner?

chris4916

@LudoS4:

Lansubnet n'est pas disponible comme option je remplace par quoi?

Tu as montré dans une copie d'écran précédente que tu avais un "LAN net".
Celui-ci a disparu ?

@baalserv

si tu renseignes à la fois dans "from" et "to" une variable qui a plusieurs valeurs, comment l'alias fonctionne t-il ?
par exemple j'ai un alias qui regroupe les ports 21, 22, 25

Selon l'interface, si tu définis un port unique dans "from" ça fonctionne.

Specify the port or port range for the destination of the packet for this rule.
Hint: you can leave the 'to' field empty if you only want to filter a single port

mais à partir du moment ou tu mets une valeur également dans "to", est-ce que avec mon alias ci-dessus les ports 23 et 24 ne vont pas également être ouverts ?

Je vais faire le test  ;)

EDIT: et donc j'ai fait le test… avec un deny + log parce que c'était plus simple dans mon cas mais le fonctionnent reste le même.
un range peut-être défini dans un alias (en séparant les ports par une virgule) mais le fait d'utiliser un alias avec de multiples ports à la fois dans "from" et "to" ne génère pas d'intervalle. Pour aller au bout du test, j'ai configuré l'alias dans le champ "From" uniquement et ça fonctionne correctement ;-)

baalserv

@ LudoS4

Dans source, la ou est renseigner ''any'' c'est un menu déroulant et pf propose une liste en fonction des interfaces deffinie  ;)

@Chris4916

Quand on renseigne un alias dans ''from'' et que l'on ''tabule'' pf le renseigne d'office dans ''to''

LudoS4

Bonjour,

Je reviens vers vous après un premier test:

En noir ma config actuelle on utilise le PFSense pour le net avec DHCP & DNS EXTERNE 2 serveurs interne débit 90Mb/s symétrique

En rouge la config avec le DHCP du serveur qui pointe sur le DNS du PFSense qui est activé.

Dans le cas rouge j'ai de nouveau mon problème de débit, en gros des que je pointe sur le dns du pfsense j'ai un débit cacahuete de 25Mb/s (test éffectué avec testdebit.info)

Demain je teste DHCP + DNS sur pfsense sans passer par aucun serveur de mon réseau local.

La carte réseau vous pensez qui me fait défaut? Ca y ressemble de plus en plus en tout cas.

baalserv

Bonjour,

Dans le cas de la config ''noire'' vous n'avez pas de pb de débits avec DHCP&DNS sur serveur interne.

=> c'est pour moi la config idéale car c'est votre DC qui gère le DHCP & DNS (c'est le fonctionnement que je choisis dès lors que j'ai un DC sur site)

Config ''rouge'' :

=> Je comprend pas la baisse de débit MAIS surtout je ne comprend pas l'intéret de ce design en comparaison de la config ''noire'' ?

LudoS4

Dans le cas ROUGE c'est le serveur 192.168.1.100 qui distribue le DNS du pfsenses (après aucun intérêt c'est juste un test),

Ce que je vais tester demain c'est dhcp et dns sur pfsense test de débit,

Et dans la foulé si je peux séparé le WAN et le LAN un sur chaque carte réseau et non pas sur la même (logilink)

chris4916

Il faut faire la part des choses:

• DHCP est utilisé une seule fois (pour simplifier) à l'attribution de l'adresse IP ou le renouvèlement du bail.  Il n'y a pas d'impact en terme de performance sur le débit réseau. Même si le serveur DHCP s'arrête, ça ne présente pas de problème.
• Sur la base de ce que tu décris, il semble que l'utilisation du DNS de pfSense entraine une chute importante de débit, ce qui est assez surprenant car sauf a faire de nombreuses résolutions différentes, les caches aux différents niveaux devraient masquer les différences de performance intrinsèques de chaque DNS (cas où ton DNS Windows est par exemple plus performant que ton DNS pfSense)

Es-tu certain que ton DNS sur pfSense (resolver ou forwerder) est bien configuré ?

Je suis d'accord avec les choix de baalserv (et je fais généralement la même chose  ;) ). Le point qui me parait surtout important ici, c'est que, si tu dissocies DHCP et DNS (local), il faut t'assurer que les machines qui se voient attribuer une adresse IP par le serveur DHCP s'enregistrent bien (surtout si ce sont des serveurs) sur le DNS qui est utilisé pour résoudre les noms locaux, soit parce que c'est e serveur désigné pour cet usage soit par transfert de zone.

Juve

Etrange. DHCP et DNS n'ont aucun effet sur le débit.
A priori dans votre cas je partirai sur deux pistes :

• probleme de tso sur une des cartes
• routage asymetrique

Pour evacuer l'une ou l'autre pouvez vous fournir un schema avec chaque element de la chaine et leur adresse ip.

LudoS4

Bonjour voici la suite de mes tests:

Toujours sans règles pare-feu LAN

J'ai DNS et DHCP sur le pfsense débit –> DL 91Mb/s UP 93Mb/s

Demain ou vendredi

• J'essaye les règles pare-feu que j'ai scindé en 2 voir 3 alias.
• De séparé le WAN et le LAN sur les 2 cartes réseaux.