Bonjour, On Thu, Jan 31, 2013 at 04:22:23PM +0100, Christophe Baegert wrote: > Le 31/01/2013 16:16, Simon Perreault a écrit : > > Faux. > > > > Voir l'article fondateur de pf: > > <http://www.benzedrine.cx/pf-paper.pdf> > > Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On > parle d'un routeur BGP là !!! > > C'est toute la différence entre la théorie et la pratique. Peut-être > faux en théorie, mais vrai en pratique.
La meilleure solution pour répondre à ce type de questions sur OpenBSD / PF / OpenBGP est de s'adresser directement à Henning Brauer (henn...@openbsd.org) : un des devs de PF et dev principal de OpenBGP. C'est lui le master sur le sujet et a déjà mis en place ce genre de conf chez des ISP allemands. Son expérience réelle en prod et sa vue de dev sera la plus précise. Pour info, une table de connexions statefull en mode kernel Linux, dans un monde "moderne" et quand c'est bien codé, ça prend 1/2 GB de RAM pour des 100 de milliers de connexions, pas besoin de Teras ! Et comme dit dans le doc sur PF, tous les benchs montrent que ça coute bien moins en CPU de faire un lookup avec une bonne fonction de hachage (jhash ou approchant) que de parcourir à chaque fois une politique de filtrage pour créer une nouvelle connexion. A++ Laurent --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/