Débit réduit avec Règles de Pare-Feu LAN
-
-
Si tu saisis les "from" et "to", ta règle va couvrir un intervalle. Avec un alias de type port tu devrais (mais je n'en utilises pas) te contenter de "from", lequel contient (je suppose car tu ne le montres pas) des valeurs multiples.
-
Bonjour,
Pour l'alias c'est bon comme tu à fait en le renseignant dans ''from'' et ''to''
Par contre pour la source il est nettement préférable de la préciser (ex: lan subnet) plutôt que ANY
Cdt
-
Merci,
Lansubnet n'est pas disponible comme option je remplace par quoi?Si je créer une règle regroupant mes ports lan Ethernet et que l'active avec l'alias de tous les ports concernés ça devrait fonctionner?
-
Lansubnet n'est pas disponible comme option je remplace par quoi?
Tu as montré dans une copie d'écran précédente que tu avais un "LAN net".
Celui-ci a disparu ?si tu renseignes à la fois dans "from" et "to" une variable qui a plusieurs valeurs, comment l'alias fonctionne t-il ?
par exemple j'ai un alias qui regroupe les ports 21, 22, 25Selon l'interface, si tu définis un port unique dans "from" ça fonctionne.
Specify the port or port range for the destination of the packet for this rule.
Hint: you can leave the 'to' field empty if you only want to filter a single portmais à partir du moment ou tu mets une valeur également dans "to", est-ce que avec mon alias ci-dessus les ports 23 et 24 ne vont pas également être ouverts ?
Je vais faire le test ;)
EDIT: et donc j'ai fait le test… avec un deny + log parce que c'était plus simple dans mon cas mais le fonctionnent reste le même.
un range peut-être défini dans un alias (en séparant les ports par une virgule) mais le fait d'utiliser un alias avec de multiples ports à la fois dans "from" et "to" ne génère pas d'intervalle. Pour aller au bout du test, j'ai configuré l'alias dans le champ "From" uniquement et ça fonctionne correctement ;-) -
@ LudoS4
Dans source, la ou est renseigner ''any'' c'est un menu déroulant et pf propose une liste en fonction des interfaces deffinie ;)
Quand on renseigne un alias dans ''from'' et que l'on ''tabule'' pf le renseigne d'office dans ''to''
-
Bonjour,
Je reviens vers vous après un premier test:
En noir ma config actuelle on utilise le PFSense pour le net avec DHCP & DNS EXTERNE 2 serveurs interne débit 90Mb/s symétrique
En rouge la config avec le DHCP du serveur qui pointe sur le DNS du PFSense qui est activé.
Dans le cas rouge j'ai de nouveau mon problème de débit, en gros des que je pointe sur le dns du pfsense j'ai un débit cacahuete de 25Mb/s (test éffectué avec testdebit.info)
Demain je teste DHCP + DNS sur pfsense sans passer par aucun serveur de mon réseau local.
La carte réseau vous pensez qui me fait défaut? Ca y ressemble de plus en plus en tout cas.
-
Bonjour,
Dans le cas de la config ''noire'' vous n'avez pas de pb de débits avec DHCP&DNS sur serveur interne.
=> c'est pour moi la config idéale car c'est votre DC qui gère le DHCP & DNS (c'est le fonctionnement que je choisis dès lors que j'ai un DC sur site)
Config ''rouge'' :
=> Je comprend pas la baisse de débit MAIS surtout je ne comprend pas l'intéret de ce design en comparaison de la config ''noire'' ?
-
Dans le cas ROUGE c'est le serveur 192.168.1.100 qui distribue le DNS du pfsenses (après aucun intérêt c'est juste un test),
Ce que je vais tester demain c'est dhcp et dns sur pfsense test de débit,
Et dans la foulé si je peux séparé le WAN et le LAN un sur chaque carte réseau et non pas sur la même (logilink)
-
Il faut faire la part des choses:
- DHCP est utilisé une seule fois (pour simplifier) à l'attribution de l'adresse IP ou le renouvèlement du bail. Il n'y a pas d'impact en terme de performance sur le débit réseau. Même si le serveur DHCP s'arrête, ça ne présente pas de problème.
- Sur la base de ce que tu décris, il semble que l'utilisation du DNS de pfSense entraine une chute importante de débit, ce qui est assez surprenant car sauf a faire de nombreuses résolutions différentes, les caches aux différents niveaux devraient masquer les différences de performance intrinsèques de chaque DNS (cas où ton DNS Windows est par exemple plus performant que ton DNS pfSense)
Es-tu certain que ton DNS sur pfSense (resolver ou forwerder) est bien configuré ?
Je suis d'accord avec les choix de baalserv (et je fais généralement la même chose ;) ). Le point qui me parait surtout important ici, c'est que, si tu dissocies DHCP et DNS (local), il faut t'assurer que les machines qui se voient attribuer une adresse IP par le serveur DHCP s'enregistrent bien (surtout si ce sont des serveurs) sur le DNS qui est utilisé pour résoudre les noms locaux, soit parce que c'est e serveur désigné pour cet usage soit par transfert de zone.
-
Etrange. DHCP et DNS n'ont aucun effet sur le débit.
A priori dans votre cas je partirai sur deux pistes :- probleme de tso sur une des cartes
- routage asymetrique
Pour evacuer l'une ou l'autre pouvez vous fournir un schema avec chaque element de la chaine et leur adresse ip.
-
Bonjour voici la suite de mes tests:
Toujours sans règles pare-feu LAN
J'ai DNS et DHCP sur le pfsense débit –> DL 91Mb/s UP 93Mb/s
Demain ou vendredi
- J'essaye les règles pare-feu que j'ai scindé en 2 voir 3 alias.
- De séparé le WAN et le LAN sur les 2 cartes réseaux.