Hello,
derrière une SUP720-3BXL j'utilise un firewall Linux bi quad core 2.66 Ghz avec 8 Gb de ram, le firewall a deux fois 3 ports 1 Gbps cuivre PCI Express de chaque coté en trunk. J'ai 2 peers BGP à 1Gbps fibre sur le routeur, le firewall gère le NAT devant plus de 100 serveurs, pour le moment il n'a géré qu'un trafic de 500 Mbps. Dans le cadre de la montée en charge prévue je souhaiterais sécuriser cette solution : - boucler la chaîne de haute disponibilité au niveau du firewall. - garantir que le firewalling peut encaisser 2 Gbps. >>>> Haute disponibilité : Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? >>>> Charge : Le firewall a peu de charge : top - 19:40:45 up 290 days, 17:50, 1 user, load average: 0.00, 0.00, 0.00 Tasks: 59 total, 1 running, 58 sleeping, 0 stopped, 0 zombie Cpu(s): 0.0% us, 0.1% sy, 0.0% ni, 95.8% id, 0.2% wa, 0.8% hi, 3.1% si Mem: 8308960k total, 4123156k used, 4185804k free, 561528k buffers Swap: 1951888k total, 0k used, 1951888k free, 3358064k cached Suite à des saturations autour des 150 000 entrées dans la table des conntrack, j'ai du monter le maximum à cette valeur : net.ipv4.ip_conntrack_max = 524288 Le hash des tables a aussi été augmenté et le timeout des entrées conntrack baissé. J'ai 9 000 règles sur le Firewall. Avez-vous un serveur Linux qui tient 2 Gbps ? Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Merci. John
