> -----Original Message-----
> From: [EMAIL PROTECTED]
> [mailto:[EMAIL PROTECTED] On Behalf Of Marcus Alves Grando
> Sent: sábado, 23 de setembro de 2006 11:36
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Subject: Re: [FUG-BR] PF e linux kernel-2.6.17
>
> Cristiano Maynart Pereira wrote:
> >
> > Estou tendo problemas de acesso aos meus servidores que
> estão atrás de NAT com PF com clientes que utilizam o Linux
> Kernel 2.6.17. Pelo o que eu li, nesta versão o kernel faz
> uma espécie de tunning alterando o tamanho do buffer do pacote TCP.
> >
> > Alguém está tendo este problema também ou tem mais
> informações a respeito?
> >
> > Neste endereço tem um relato sobre o mesmo problema:
> > http://kerneltrap.org/node/6723
>
> Isso acontece com o kernel 2.6.18? Já tentou desabilitar a
> RFC 1323 no teu FreeBSD (Pra mim a última opção)?
>
> # sysctl net.inet.tcp.rfc1323=0
>
> Abraços
>
> --
> Marcus Alves Grando
> marcus(at)corp.grupos.com.br | Grupos Internet S/A
> mnag(at)FreeBSD.org | FreeBSD.org
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Marcus,
Não testei com o kernel 2.6.18 mas acredito que haverá o mesmo
problema. Desabilitei a RFC1323 mas não adiantou. Neste caso, no firewall eu
uso OpenBSD, mas isso deve ocorrer com o PF no Free, por isso postei na nesta
lista também.
Realizei mais pesquisas e descobri que o problema era no momento de
reescrever o pacote de saída com tamanho de window scale maior que 7.
Acrescentei a regra "pass out $int_if keep state" e "pass out $ext_if keep
state" no PF e o problema foi resolvido. Eu utilizo somente bloqueio de entrada
no Firewall, todas com keep state, mas não tinha nenhuma regra de saída.
Aconselho a todos que utilizam PF, afim de evitar problemas, que adicionem o
keep state nas regras de saída ou caso não possuam regras de saída acrescentem
apenas a que mencionei acima.
Durante as pesquisas vi relatos de pessoas que utilizam o Linux com
estas versões de kernel com problemas de lentidão em acesso a algumas páginas,
com modems DSL e Switches Layer 7. Quando eu estava fazendo testes no Linux,
alterando o tamanho do buffer (echo "4096 87380 174760" >
/proc/sys/net/ipv4/tcp_rmem) ou desabilitando o Window Scaling (echo 0 >
/proc/sys/net/ipv4/tcp_window_scaling) também resolveu o problema, mas seria
inviável pedir a todos os clientes fazerem isso.
______________________________
Cristiano Maynart Pereira
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
