From: Niels Wahlgreen <none@niels--wahlgreen.dk.lh.bsd-dk.dk> To: "bsd-dk@bsd-dk.dk" <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk> Date: Sat, 15 Aug 2009 23:35:21 +0200 Subject: Firewall
Kære Liste,
Uden på forhånd at have researchet grundigt, tillader jeg mig at spørge om jeres erfaringer med BSD-baserede firewalls:
Jeg har nogle få servere stående i et hosting center, med et gigabit link til udbyderens backbone, hvorfra der er mange gigabit peering med alle mulige forskellige.
Pt. Kører serverne FreeBSD med hver deres ipfw, undtagen en ESX server som kører nogen Windows hosts, med en FreeBSD+ipfw-bridge som fælles firewall, via noget virtuelt ESX netværk.
Jeg kunne godt tænke mig at sætte én samlet firewall op, som kan fungere som router/gateway/firewall (+ evt. traffic shaper) med NAT hvor de offentlige adresser kan mapper 1-1 med private adresser på forskellige subnets.
Trafikken er primært http/https og SMTP.
Det er nok meget teoretisk at forestille sig, at jeg kan udnytte hele gigabit forbindelsens båndbredde, selvom jeg får flere servere ud og stå. Men jeg vil alligevel nødig sætte en flaskehals ind.
Mit spørgsmål er:
Kan jeg overhovedet lave en FreeBSD firewall som kan følge med, hvis vi forestiller os at trafikken peaker på 1Gbit og hvis ja, hvor kraftig hardware skal jeg så bruge?
Jeg ved at det nok mere er et spørgsmål om hvor mange pakker- end hvor mange bytes der overføres, så jeg er mest ude efter generelle anbefalinger, tommelfingerregler og erfaringer fra lignende tilfælde.
PS: Budgettet rækker ikke så langt, så det jeg egentligt også spørger om, er om det kan klares med en alm. 1U server med en eller to CPU'er og hvor kraftig den så skal være - eller om jeg bare skal glemme det igen og fortsætte med en firewall på hver server.
Med venlig hilsen/Best regards,
Niels Wahlgreen
IT-Consultant, Cand.merc.(dat.)
M: +45 26 34 60 80
@: niels-at-wahlgreen.dk
T: +45 70 23 50 45
F: +45 70 23 50 44
W: www.wahlgreen.dk
This archive was generated by hypermail 2b30 : Mon 31 Aug 2009 - 23:00:01 CEST