PFsense firewall tarafında anlık olarak trafik yoğunluğunda veya donanımdan kaynaklanan CPU yükselmesi olabilmektedir. CPU sürekli veya aralıklı olarak yükselerek kesintiye veya geçici devre dışı kalma durumuna sebebiyet vermektedir. Adım adım bu sorunun önüne geçebilmek için kontrolleri sağlamamız gerekmektedir.
Sorunun ana kaynağını bulabilmek için CPU monitor edip zaman aralığını ve trafik durumu gibi bileşenleri analiz edip hangi bölümün CPU tarafını etkilediğini anlayabilirsiniz.
Diagnostics / System Activity
Eğer analiz sonucu birşey saptanamamış ise adım adım aşağıdaki kontrollerin yapılması sağlıklı olacaktır.
- Kullanılmayan veya gereksiz kuralları temizle ya da kural setleri kapat.
- Traffic Shaper kısmında kullanılmayan veya gereksiz limitleri kaldır. Shaper’lar her paket üzerinde işlem yapar.
- State tablosunu temizleyebilir gereksiz bağlantıları temizleyebilirsiniz. Connection çok fazla açık kalmış olabilir.
Diagnostics / States / Reset States
- Log kısmında default olarak “block” veya “pass” paketleri loglar. Yani geçen veya geçemeyen tüm paketleri log kısmında tutar ve zamanda CPU şişmesine sebebiyet verir. Default olarak işaretli olan bu tikleri kaldırabilirsiniz. Sonrasında “Reset Log Files” diyerek mevcut log dosyasını sıfırlayabilirisiniz.
Status / System Logs / Settings
- AES-NI donanım desteğini aktifleştirmeniz de, gereksiz CPU kullanımının önüne geçecektir. Normalde VPN, IPsec, OpenVPN gibi bağlantı servisleri şifreleme metotları kullanır. Bu işlemler CPU tarafında tek tek yapılır ve zamanla bağlantı sayısı arttıkça CPU seviyesi yükselecektir. Manuel olarak bizim AES-NI şifreleme kısmını seçiyor olmamız bu işlemin artık hızlandırılmış bir şekilde CPU içerisinde yer alan AES komut setine devrediliyor olmasıdır. Bir diğer artısı ise %50 ye yakın CPU kullanımı düşerken, aynı zaman AES şifremelerinde 2 kat hız artışı sağlanıyor olmasıdır.
System / Advanced / Miscellaneous
- DNS Resolver optimizasyonunu sağlamak için “Forwarding Mode” aktif etmek gerekmektedir. Bu işlem DNS sorgularını başka bir DNS sunucusuna iletir. Böylece iş yükü CPU üzerinde kalmamış olur. Bu işlemi dış bir DNS örnek olarak, Cloudflare, Google DNS vb. kullanmak istenilirse aktif edilir. Forwarding Mode kullanılmasının sebebi normalde default olarak aktif olarak “DNS Resolver” ın direkt olarak CPU üzerinde çalışıyor olmasıdır. DNS çözümlemelerini CPU gücüyle yaptığından dolayı ek bir yük oluşturur.
Services / DNS Resolver / General Settings
