IPFW2 ve -stable a aktualizace source upgrade
Ivo Hazmuk
ivo at vutbr.cz
Mon Jul 29 08:27:35 CEST 2002
> planuju instalaci jednoho firewallu, a uvazuju o kombinaci
> ipfw/dummynet na trafic shaping a ipf/ipnat na firewalling/NAT.
>
> dva dotazy: 1) jak to ve skutecnosti vypada v ipfw se spolupraci s
> natd, a 2) mate nekdo zkusenosti s kombinaci, kterou jsem popsal?
Podobnou kombinaci jsem mel ted v rukach. Ja sam jsem to sice
neinstaloval, ale asi na neco podobneho budeme s kolegy prechazet.
Kombinace firewall, traffic shapping, mereni - IPFW a NAT - IPF/IPNAT se
mi zalibila.
U natd jsem vsak jednou narazil na problem s pasivnim FTP. V DMZ je FTP
server na verejnych adresach za natd. Z vnitrni site nebyl problem se na
nej dostat a posilat data, ale z vnejsi site se nedala posilat data.
Duvod byl v natd, ktery opravoval pakety vic, nez bylo zdravo. Resenim
je obskocit natd ve firewallu.
IPFW se mi libi vic zejmena pro moznosti traffic shappingu, skoku,
pocitadel. Take, podle nekoho nevyhoda, ze IPFW zareaguje na
prvni nalezene pravidlo, je mi prijemnejsi.
IPF mam na jednom NetBSD 1.3 (hodne stara verse) a chybi mi diagnostika.
U IPF byly sveho casu problemy s licenci.
Malokdo ma tak rychlou linku, aby natd nestihal. Sice jsem to
netestoval, ale natd je daemon a bude davat podobne vysledky jako jedna
verse tunelu - jednotky Mb/s. Mereno na P100, 16MB RAM.
Vykonostne nevidim ani u jednoho slabinu. Je treba se na to divat
v kontextu linky, kterou mam na vstupu. Pentium 100, 16MB RAM bez
problemu zvladlo 50 pravidel IPFW, aniz by se to vyrazne projevilo na
propustnosti (cca 60MB/s). Pri vetsim poctu pravidel, doslo k omezeni
rychlosti. Mereni jsme provadeli asi pred 4 lety.
Vloni jsme v ramci jednoho projektu zjistili, ze omezeni u PC neni ve
vypocetnim vykonu, ale v PCI sbernici. Hranice se podle delky paketu
pohybuje mezi 50Mb/s (82B) az 600Mb/s (1500B). Mix paketu jaky je zhruba
v beznem provozu se pohyboval okolo 300Mb/s.
A kdo ma na podobnou linku, tak muze koupit pro potreby levneho
firewallu serverove PC.
S podravem
Ivosh Hazmuk
More information about the Users-l
mailing list