[PLUTO-security] latenza altissima... ???

filippo - deb debian a zirak.it
Gio 15 Apr 2004 13:22:57 CEST


Ciao,
 ultimamente mi sono imbattuto in un problema abbastanza interessante...
Situazione:
 firewall debian, piccola LAN alle spalle, connessione ADSL.
Durante uno (o più) download che saturano la banda, ho una situazione di ping (o ssh!) del tipo:

dal firewall (sempre, anche durante saturazione ADSL):

PING 66.102.11.99 (66.102.11.99): 56 data bytes
64 bytes from 66.102.11.99: icmp_seq=0 ttl=243 time=51.9 ms
64 bytes from 66.102.11.99: icmp_seq=1 ttl=243 time=48.4 ms
64 bytes from 66.102.11.99: icmp_seq=2 ttl=243 time=48.1 ms

da lan durante banda non utilizzata:

PING pinger (66.102.11.99): 56 data bytes
64 bytes from 66.102.11.99: icmp_seq=0 ttl=242 time=87.0 ms
64 bytes from 66.102.11.99: icmp_seq=1 ttl=242 time=86.3 ms
64 bytes from 66.102.11.99: icmp_seq=2 ttl=242 time=86.8 ms

dalla lan durante saturazione ADSL:

PING pinger (66.102.11.99): 56 data bytes
64 bytes from 66.102.11.99: icmp_seq=0 ttl=242 time=3048.6 ms
64 bytes from 66.102.11.99: icmp_seq=1 ttl=242 time=2652.7 ms
64 bytes from 66.102.11.99: icmp_seq=2 ttl=242 time=2304.2 ms

...dato che dalla rete locale pingo il firewall a 0.1-0.2 ms... PERCHE' accade ciò???
voglio dire, perché se la banda non è utilizzata io pingo il firewall a 0.2 ms, il firewall pinga google a 50 ms, ma io pingo google a 85 ms ???
poi, peggio, perché in condizione di saturazione banda la latenza pacchetti si alza così tanto (3 sec!!!) ???

Per fare dei test ho levato anche tutte le regole al firewall, che ora a parte fare uno SNAT/DNAT, ha FORWARD con policy accept...
Ora provo a vedere se è un problema del mio vecchio kernel (2.4.20), ma... qualcuno ha qualche idea di dove posso buttare l'okkio?
thanks,
 Filippo

P.S. ho anche provato a mettere le qdisc a sfq, su tutte le interfacce, ma rimane tale quale, il problema...


Maggiori informazioni sulla lista pluto-security