Советы по диагностике проблем с производительностью в брандмауэре OpenBSD

4

В последние несколько недель мой брандмауэр OpenBSD 4.6 pf начал очень плохо работать. В качестве проблемы я выделил брандмауэр (в отличие от WAN-соединения, коммутатора, кабеля и т. Д.), Но мне нужен совет о том, как дополнительно диагностировать или устранить проблему.

Факты:

Обычная настройка: DSL Modem -> FW Ext. NIC -> FW Int. NIC -> Switch -> Ноутбук

  1. Нормальная настройка, описанная выше, дает только 25 Кбит / с!

  2. Подключение ноутбука напрямую от модема DSL обеспечивает соединение 1 Мбит / с (полная скорость, как заявлено). Таким образом, подключение DSL, кажется, в порядке.

  3. Подключение ноутбука непосредственно к внутренней сетевой карте брандмауэра (в обход коммутатора) также дает только 25 кбит / с. Таким образом, переключатель не является проблемой.

  4. Я заменил кабели Ethernet, но это не помогло.

  5. Вот странная вещь. Перезагрузка набора правил (/ sbin / pfctl -Fa -f /etc/pf.conf) приводит к тому, что соединение с ноутбуком в течение нескольких минут разгоняется до 1 Мбит / с (то есть на полной скорости), а затем постепенно снижается до 25 Кбит / с.

Любые идеи о том, что не так или как я мог бы дополнительно диагностировать проблему?

Том
источник
Можете ли вы редактировать и публиковать sudo pfctl -s infoиз BSD, когда вы получаете замедление?
Пол

Ответы:

1

Скорее всего, у вас неоптимальное значение MTU или неправильная автоматическая установка этого значения, поэтому пакеты фрагментируются, что может привести к серьезному снижению производительности, см. Некоторые советы Не уверен в точном синтаксисе openbsd, но вы можете определить размер пакета для ping и посмотреть, фрагментируются ли пакеты, постепенно уменьшая значение, чтобы найти самый большой, который не вызывает фрагментации. Смотрите этот блог для примера. В противном случае просто попытайтесь вслепую понизить значение MTU с помощью ifconfig, чтобы сказать 1300, и посмотрите, будет ли оно каким-либо образом. Вы также можете рассчитать значение на основе инкапсуляции, но это, вероятно, быстрее с методом проб / ошибок.

Feczo
источник