From: Jesper Louis Andersen <none@jesper.louis.andersen--gmail.com.lh.bsd-dk.dk> Date: Sun, 16 Aug 2009 00:12:56 +0200 Subject: Re: Firewall To: bsd-dk@bsd-dk.dk
2009/8/15 Niels Wahlgreen <none@niels--wahlgreen.dk.lh.bsd-dk.dk>:
> Mit spÞrgsmÄl er:
>
> Kan jeg overhovedet lave en FreeBSD firewall som kan fÞlge med, hvis vi forestiller os at trafikken peaker pÄ 1Gbit og hvis ja, hvor kraftig hardware skal jeg sÄ bruge?
It depends :)
Oplagt set skal du behandle hver IP-pakke i de firewall hooks der er
at finde i kernen. Hvor hurtigt IPFW kan gĂžre arbejdet hĂŠnger meget
sammen med hvordan firewallreglerne er opbygget, om der benyttes
stateful filtering etc. Jeg ville lave eksperimentet, for der er for
mange variable til at man kan gisne om hvorvidt det kan lade sig gĂžre
eller ej.
Husk ogsÄ at hardwaren inkluderer begreber som "dÄrligt netkort" eller
"dÄrlig netkortsdriver" -- det kan hurtigt have mere betydning end
hvor kraftig CPU'en i maskinen er.
> Jeg ved at det nok mere er et spÞrgsmÄl om hvor mange pakker- end hvor mange bytes der overfÞres, sÄ jeg er mest ude efter generelle anbefalinger, tommelfingerregler og erfaringer fra lignende tilfÊlde.
Start med at sÊtte det realistiske mÄl. Hvis du bekymrer dig om 1Gbit
peak nu nÄr i maksimalt flytter 0.2Gbit, sÄ skyder du over mÄlet. NÄr
det mÄl sÄ er sat kan man eksperimentere med hardwaren og se om den
kan fĂžlge med i forhold til det regelsĂŠt din firewall er konfigureret
med.
-- J.
This archive was generated by hypermail 2b30 : Mon 31 Aug 2009 - 23:00:01 CEST