sslug-teknik team mailing list archive

Thread
Date

Re: Hardwarevalg til firewall?

To: sslug-teknik@xxxxxxxx
From: Klavs Klavsen <kl@xxxxxxx>
Date: Mon, 8 Sep 2003 18:19:31 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Enable IT

On Mon, 8 Sep 2003 17:45:27 +0200
"Thomas D" <merlin@xxxxxxxx> wrote:

> Hej,
> 
> Jeg skal have indkøbt en server der skal køre dedikeret firewall for
> nogle IIS og mssql servere.
> Der er ret meget trafik på dem. (kan vende tilbage med et mere konret
> tal hvis det er vigtigt)
> Hvad for noget vil I anbefale?
> Vi er vant til at købe Dell servere, så det vil være dejligt hvis I
> kan foreslå noget derfra?
> 
> Men ellers er jeg interesseret i at vide hvilke ting der er vigtige.
> Altså fx. harddisken er vel mere eller mindre underordnet mht. ydelse,
> den skal jo stort set bare logge, så kapacitet vil vel være det
> væsentligste der?

Hvis nu i f.ex. finder på at køre snort på den, bliver en god disk lige
pludselig interessant :) - men jeg ved ikke hvor flaskehalsen først
opstår med snort, hvis der er meget trafik. Det afhænger også af hvad du
beder snort inspiciere osv. :)

> Hvad for en CPU? Når den skal route en masse pakker i sekundet blir
> der så meget CPU load?

ikke specielt. medmindre du laver specielle ting. Alt iptables stuff kan
klares på en 500mhz ville jeg mene - op til omkring 100mbit throughput.

> Bør det være dual?

ikke medmindre du vil have gigabit igennem den - og jeg er ikke sikker
på dual ville hjælpe noget her alligevel.

> RAM? Der er vel ikke så meget brug for en hel masse her? eller hvad?
> 
afhængig af def. for en hel masse. Start mede 512mb,
så er du sikker - det afhænger af hvor mange regler osv.

> Det er bare lige nogle hurtige spørgsmål som flyver rundt i hovedet af
> mig. Håber I kan hjælpe?
> 
Jeg har kørt en 2000+ ipchains regels firewall på en PIII-500mhz med
256mb ram uden problemer - også når backup'en kørte igennem den på fuld
skrue :)

Snakker vi gigabit, begynder det nok at betyde lidt mere. 

Det vigtigste ville være at få nogle ordentlige server netkort, som er
understøttet af kernen, således at så meget af netværkstrafikken kan
afvikles i kortene, istedet for at skulle genere kernen hele tiden.

-- 
Regards,
Klavs Klavsen, GSEC, klavs@xxxxxxxxxxx, http://www.EnableIT.dk 
Open Source Server, Security and Network Consulting
Phone: +45 3284 4372 Mobile: +45 2342 4372
PGP: 7E063C62/2873 188C 968E 600D D8F8  B8DA 3D3A 0B79 7E06 3C62

See our new CMS Hosting Service at http://www.VirkPaaNettet.dk

"Open Source Software - Sometimes you get more than you paid for."

References

Hardwarevalg til firewall?
From: Thomas D, 2003-09-08