Ponto de verificação reduzindo o tráfego

2

Tenho o R65 instalado no Solaris 9, no Sun4u. No momento, ela está se deparando com um problema em que há conexões longas (eu acho. Não parece fazer isso em todas as conexões e não consigo descobrir qual é a diferença entre as afetadas e as que não são). Certo período de tempo. Nenhum tráfego é registrado como sendo descartado. Quando uso o fw monitor -p All, posso ver o tráfego atingindo a saída do estágio cinco (fw VM outbound) e não estou conseguindo mais. No entanto, o início da conexão é configurado corretamente, e posso ver a conexão registrada como passada no Rastreador inteligente. fw ctl debug parece não apontar para nada útil, nem fw debug fwd. Existe alguma coisa óbvia que eu esteja sentindo falta que possa estar causando isso?

    
por Cian 05.11.2009 / 19:05

2 respostas

1

Encontrei. Parece que o ponto de verificação mantém uma MTU separadamente para o sistema operacional, e os pacotes que violam isso são silenciosamente descartados. Isso explica por que nada estava sendo registrado no rastreador inteligente e por que as coisas estavam sendo descartadas após o estágio cinco (elas não estavam conseguindo passar a saída do Wire VM). Isso pode ser alterado com

fw ctl set int fwtcpstr_max_window <number in decimal>

Se você alterar isso, será necessário atualizar as configurações para que sejam reaplicadas na reinicialização. Estes são configurados em $ FWDIR / conf / modules / fwkern.conf, com

fwtcpstr_max_window=<number in hex>

(Obrigado ao freenode que me explicou isso)

    
por 06.11.2009 / 15:15
0

As conexões afetadas estão inativas ou há tráfego entre elas quando o problema ocorre? A maioria dos firewalls possui uma função de tempo limite de sessão ociosa para conexões que não estão passando tráfego. Isso ajuda o firewall a recuperar recursos das conexões ociosas, como memória, CPU, entradas da tabela de estado, etc.

    
por 05.11.2009 / 19:12