sslug-teknik team mailing list archive

[Christoffer Hall-Frederiksen <hall@xxxxxxx>]

Mads Danquah <kd@xxxxxx> writes:
> Er der nogle der har nogle idé / tal på hvor meget en linuxmaskine
> bliver belasetet af at køre en tungt belastet firewall (ipchains). ?
> 
> Vi har en kunde der gerne vil vide hvordan en linuxbaseret firewall vil
> klare sig i forhold til en hardware-baseret. 

Det hele kommer an på den hardware du har (selvfølgelig) og hvad du
ellers skal bruge maskinen til (kompleksisteten af reglerne). Hvis det
er en dedikeret firewall, kan du roligt regne med at en linux-kasse
kan klare ærterne. Jeg testede for et halvt år siden (i forbindelsen
med indførelsen af nye firewalls og routere her på DIKU) en p-II. Selv
med flere hundrede regler (ipchains) kunne man stadig hælde 92-94
Mbit/s igennem. Så vidt jeg erindre skulle vi op på 1500 regler før
performance faldt betydeligt (Læs 82 Mbit/s - og her var syslogs
skrivninger til disken var en stor del af problemet). Jeg skal
naturligvis her nævne, at denne performance er for relativt store
pakker. Hvis man gik ned til 64 byte faldt performance til ca. 87
Mbit/s.

Her på DIKU har vi flere linux-kasser kørende, der er firewalls og
routere, og selv om vi har en 100 Mbit/s forbindelse til
Campus-net-nord, der er en del af forskernet, keder vores linux-kasser
sig. 

Så moralen er: Du kan lave en solid firewall til jeres kunde, for
noget der ligner 6000 Kr. Der er absolut ingen grund til at købe en
dyr hardware-kasse.

NB: Vis der ikke findes nogen hos jeres kunde der kan finde ud af at
passe en linux-kasse, skal du nok overveje at lade maskinen boote fra
en floppy og ligge i en ramdisk. Harddiske går bare i stykker :-)

NNB: Vis du er interesseret i at føre en log, kan du log have en disk
til logging eller sende syslog-beskederne til en loghost. 


-- 
	Christoffer

Three things are certain: Death, taxes, and lost data.