[PLUTO-security] latenza altissima... ???

filippo - deb debian a zirak.it
Gio 15 Apr 2004 13:53:53 CEST


Ciao dido, cavolo che latenza bassa a rispondere!!! thanx!

da top:

CPU states:   0.4% user,   0.0% system,   0.0% nice,  99.6% idle
Mem:    257368K total,   249524K used,     7844K free,    10908K buffers
Swap:   489940K total,        0K used,   489940K free,   185780K cached

(tenendo conto che è un AMD Duron 900MHz con 256MB di ram, penso di essere anche sovradimensionato...)

su iptables ho solo un paio di DNAT e di SNAT, ma il carico del processore raramente lo vedo "alzarsi" sino ad un 99% di idle... ;-)

no ppp, ho un router datomi dalla Telecom, router Pirelli, ma non penso che c'entri, visto che dal firewall vado molto bene...
ora ho levato tutti i QoS, che comunque avevo messo solo in prova da pochi minuti...
... mumble mumble...
fi

------------------------------
In data 15/04/2004, Tom Dido ha scritto:
Il carico del firewall? HW del firewall? Il tipo di modem adsl?
Se hai un modem, grossa parte del lavoro ppp è fatto dal firewall (e non
dal modem stesso), per cui appesantisci la macchina. Inoltre, il NAT
appesantisce il processore. Infine, se hai delle regole "stateful"
appesantiscono il processore.. 
Io guarderei nel'ordine:
carico RAM e CPU del firewall 
se le tabelle di state sono piene
cosa succede a tigliere il QoS

i miei eurocents...

Dido

On Thu, 2004-04-15 at 14:22, filippo - deb wrote:
> Ciao,
>  ultimamente mi sono imbattuto in un problema abbastanza interessante...
> Situazione:
>  firewall debian, piccola LAN alle spalle, connessione ADSL.
> Durante uno (o più) download che saturano la banda, ho una situazione di ping 
(o ssh!) del tipo:
<cut>
> ...dato che dalla rete locale pingo il firewall a 0.1-0.2 ms... PERCHE' 
accade ciò???
> voglio dire, perché se la banda non è utilizzata io pingo il firewall a 0.2 
ms, il firewall pinga google a 50 ms, ma io pingo google a 85 ms ???
> poi, peggio, perché in condizione di saturazione banda la latenza pacchetti 
si alza così tanto (3 sec!!!) ???
> 
> Per fare dei test ho levato anche tutte le regole al firewall, che ora a 
parte fare uno SNAT/DNAT, ha FORWARD con policy accept...
> Ora provo a vedere se è un problema del mio vecchio kernel (2.4.20), ma... 
qualcuno ha qualche idea di dove posso buttare l'okkio?
> thanks,
>  Filippo
> 
> P.S. ho anche provato a mettere le qdisc a sfq, su tutte le interfacce, ma 
rimane tale quale, il problema...


_______________________________________________
pluto-security mailing list
pluto-security a lists.pluto.it
http://lists.pluto.it/cgi-bin/mailman/listinfo/pluto-security




Maggiori informazioni sulla lista pluto-security