On 7.3.2018 16:03, Vilém Kebrt wrote:
vem si jen problemy, ktere vzniknou pri zpracovani fragmentovanych paketu
PF : scrub in on $IFACE all fragment reassemble
-> tohle rule ti posklada pakety dohromady
Tim ten firewall ale prestava byt transparentni, coz se mi jevilo byt
pozadavkem zadani.
Pokud jsem to pochopi spatne, tak to reseni ma, nejen s PF, ale i s ipfw:
https://www.freebsd.org/doc/en_US.ISO8859-1/articles/filtering-bridges/article.html
To bych ale za L2 transparentni firewall neoznacil.
bude pomoci FreeBSD velmi obtizne "za lacino" napodobit "standardni reseni u
prumyslovych dedicated IPS stroju".
virtualni ips appliance od trendmicra
pruchodnost celkem hodne slusna (tusim na full inspekci jsme meli v labu asi
4,5Gbitu).
A jak slozity jste tam meli pravidla ? To IMHO ovlivnuje pruchodnost dost.
Sveho casu jsem na FreeBSD v roli "klasicky" router+firewall
vypozoroval, ze pruchodnost celkem hodne zalezi na tom kolika pravidly
pakety. Skoncili jsme firewallem *hodne* minimalistickym. Mel 25 ruli, a
byl peclive optimalizovan tak, aby bylo 90% paketu "vyreseno" do sedme
rule. Pruchodnost byla, tusim, neco pod 5Gbps.
Jakmile se firewall zacal komplikovat, slo to dolu.
1Gbit bych si u toho na slusnym zeleze dokazal predstavit.
1Gbps je pro me tak zhruba predel mezi "tak nejak normalnim" a "rychlym"
uplinkem. Jo, gigabit z toho na rozumnym zeleze asi vymacknes - zejmena
pokud jsem spatne pochopil tu "transparentnost" a staci ti
semi-transparentnost (a pouzijes PF nebo IPFW - a nebudes mit pravidel moc).
Jinak ale - to "sluzny zelezo" je dost klicova poznamka. U konfigurace
"prosty router bez firewallu" byl pri stejnem pruchozim toku pozorovan
rozdil v zatizeni procesoru 1:8 dany tim, jestli se pouzivala kvalitni
serverova Intelka nebo on-boardovy Realtec ...
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
