Trochu to rozvedu ( sorry píšu z telefonu). 
Většina IPS appliance používá multi match technologii. Přesně ti to neřeknu, 
ale co jsem koukal tak v rámci zpracování jedou jednotlivé checky paralelně 
(aka je to rozdělené mezi vlákna corů a aplikuje se to "současně". Pokud jediný 
z threadů dá block příznak, paket se zlikviduje). Takže to je spíš o těch 
kontrolách. Zde si dle mého názoru můžeš urychlit rozhodovací procesy skrze 
binary match tables (tak nějak se tomu nadává tuším, nejsem programátor). 
Každopádně rozhodně nebudeš třeba prohánět L2 hlavičky L3 kontrolou, ale každý 
thread kontroluje jemu příslušnou část. A říkám slušnější železo. Když se 
podíváš například na checkpoint 24800, zjistíš že zas tak extra nabuseny to 
není (tuším 4 jádra a 8gb ramky). Ale hodně tam dělá spolupráce serverových 
síťovek s CPU.

Jako další příklad si můžeš vzít hloupyho mikrotika. Výpočetně nic extra ale 
hloupa rb600 svýho časů uroutovala a ufirewallovala 100mbit. A to se bavím o 
reálným provozu, měli jsme to jako backbone router a dělalo to i základní 
packet filtering pro příslušnou areu sítě.  
Vilém

⁣Odesláno z Blue ​

7. 3. 2018 18:11, 18:11, Dan Lukes <d...@obluda.cz> napsal/a:
>On 7.3.2018 16:03, Vilém Kebrt wrote:
>>> vem si jen problemy, ktere vzniknou pri zpracovani fragmentovanych
>paketu
>
>> PF : scrub in on $IFACE all fragment reassemble
>>      -> tohle rule ti posklada pakety dohromady
>
>Tim ten firewall ale prestava byt transparentni, coz se mi jevilo byt 
>pozadavkem zadani.
>
>Pokud jsem to pochopi spatne, tak to reseni ma, nejen s PF, ale i s
>ipfw:
>
>>
>https://www.freebsd.org/doc/en_US.ISO8859-1/articles/filtering-bridges/article.html
>
>To bych ale za L2 transparentni firewall neoznacil.
>
>>> bude pomoci FreeBSD velmi obtizne "za lacino" napodobit "standardni
>reseni u prumyslovych dedicated IPS stroju".
>
>> virtualni ips appliance od trendmicra
>
>> pruchodnost celkem hodne slusna (tusim na full inspekci jsme meli v
>labu asi 4,5Gbitu).
>
>A jak slozity jste tam meli pravidla ? To IMHO ovlivnuje pruchodnost
>dost.
>
>Sveho casu jsem na FreeBSD v roli "klasicky" router+firewall 
>vypozoroval, ze pruchodnost celkem hodne zalezi na tom kolika pravidly 
>pakety. Skoncili jsme firewallem *hodne* minimalistickym. Mel 25 ruli,
>a 
>byl peclive optimalizovan tak, aby bylo 90% paketu "vyreseno" do sedme 
>rule. Pruchodnost byla, tusim, neco pod 5Gbps.
>
>Jakmile se firewall zacal komplikovat, slo to dolu.
>
>> 1Gbit bych si u toho na slusnym zeleze dokazal predstavit.
>
>1Gbps je pro me tak zhruba predel mezi "tak nejak normalnim" a
>"rychlym" 
>uplinkem. Jo, gigabit z toho na rozumnym zeleze asi vymacknes - zejmena
>
>pokud jsem spatne pochopil tu "transparentnost" a staci ti 
>semi-transparentnost (a pouzijes PF nebo IPFW - a nebudes mit pravidel
>moc).
>
>Jinak ale - to "sluzny zelezo" je dost klicova poznamka. U konfigurace 
>"prosty router bez firewallu" byl pri stejnem pruchozim toku pozorovan 
>rozdil v zatizeni procesoru 1:8 dany tim, jestli se pouzivala kvalitni 
>serverova Intelka nebo on-boardovy Realtec ...
>
>Dan
>
>
>
>
>-- 
>FreeBSD mailing list (users-l@freebsd.cz)
>http://www.freebsd.cz/listserv/listinfo/users-l
-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem