Tunning do Firewall

Desabilitar Mitigação Spectre e Meltdown

1. Acessar o menu: System → Settings → Tunables
2. Alterar o valor (ou criar caso não exista): vm.pmap.pti para 0
3. Alterar o valor (ou criar caso não exista): hw.ibrs_disable para 1

Onde não se usa o IDS/IPS, Habilitar o CRC e TSO, mas verificar a performance com IPERF3 para atestar que houve ganho real:

1. Acessar o menu Interfaces → Settings
2. Desativar: Disable hardware checksum offload
3. Desativar: Disable hardware TCP segmentation offload

Habilitar o processamento de múltiplas filas na placa de rede INTEL:

1. Acessar o menu System → Settings → Tunables
2. Criar o tunable hw.igb.rx_process_limit com valor -1
3. Criar o tunable hw.igb.tx_process_limit com valor -1
4. Criar o tunable legal.intel_igb.license_ack com valor 1

Multithreads nas Interrupções de rede, uma por core

1. Acessar o menu: System → Settings → Tunables
2. Criar o tunable net.isr.maxthreads com valor -1
3. Criar o tunable net.isr.bindthreads com valor 1
4. Criar o tunable net.isr.dispatch com valor deferred

Habilitando o RSS para sistemas multi-cores:

1. Acessar o menu System → Settings → Tunables
2. Criar o tunable net.inet.rss.enabled com valor 1
3. Criar o tunable net.inet.rss.bits com valor (quantidade total de núcleos / 4)

Appliances com Intel N100 (Série N1x)

Aplique os seguintes tunables para melhor compatibilidade do processador:

• vm.pmap.pcid_enabled = 0
• hw.ibrs_disable = 0
• vm.pmap.pti = 1

---

Referências:

https://teklager.se/en/knowledge-base/opnsense-performance-optimization/

https://medium.com/@truvis.thornton/opnsense-firewall-configuration-performance-tuning-for-multi-gigabit-internet-and-better-speeds-in-cfc80c49c544

https://calomel.org/network_performance.html

https://calomel.org/freebsd_network_tuning.html

https://binaryimpulse.com/2022/11/opnsense-performance-tuning-for-multi-gigabit-internet/

https://forum.opnsense.org/index.php?topic=48343.0

https://docs.opnsense.org/troubleshooting/hardening.html