Transparentny FW z FreeBSD

[Dan Lukes]

On 7.3.2018 16:03, Vilém Kebrt wrote:
>> vem si jen problemy, ktere vzniknou pri zpracovani fragmentovanych paketu

> PF : scrub in on $IFACE all fragment reassemble
>      -> tohle rule ti posklada pakety dohromady

Tim ten firewall ale prestava byt transparentni, coz se mi jevilo byt 
pozadavkem zadani.

Pokud jsem to pochopi spatne, tak to reseni ma, nejen s PF, ale i s ipfw:

> https://www.freebsd.org/doc/en_US.ISO8859-1/articles/filtering-bridges/article.html

To bych ale za L2 transparentni firewall neoznacil.

>> bude pomoci FreeBSD velmi obtizne "za lacino" napodobit "standardni reseni u prumyslovych dedicated IPS stroju".

> virtualni ips appliance od trendmicra

> pruchodnost celkem hodne slusna (tusim na full inspekci jsme meli v labu asi 4,5Gbitu).

A jak slozity jste tam meli pravidla ? To IMHO ovlivnuje pruchodnost dost.

Sveho casu jsem na FreeBSD v roli "klasicky" router+firewall 
vypozoroval, ze pruchodnost celkem hodne zalezi na tom kolika pravidly 
pakety. Skoncili jsme firewallem *hodne* minimalistickym. Mel 25 ruli, a 
byl peclive optimalizovan tak, aby bylo 90% paketu "vyreseno" do sedme 
rule. Pruchodnost byla, tusim, neco pod 5Gbps.

Jakmile se firewall zacal komplikovat, slo to dolu.

> 1Gbit bych si u toho na slusnym zeleze dokazal predstavit.

1Gbps je pro me tak zhruba predel mezi "tak nejak normalnim" a "rychlym" 
uplinkem. Jo, gigabit z toho na rozumnym zeleze asi vymacknes - zejmena 
pokud jsem spatne pochopil tu "transparentnost" a staci ti 
semi-transparentnost (a pouzijes PF nebo IPFW - a nebudes mit pravidel moc).

Jinak ale - to "sluzny zelezo" je dost klicova poznamka. U konfigurace 
"prosty router bez firewallu" byl pri stejnem pruchozim toku pozorovan 
rozdil v zatizeni procesoru 1:8 dany tim, jestli se pouzivala kvalitni 
serverova Intelka nebo on-boardovy Realtec ...

Dan