sslug-teknik team mailing list archive

["Valdemar Lemche" <valdemar@xxxxxxxxxx>]

> Jeg snakker ikke om MTU, men om antal pakker. Hvis der er nok der
> spiller Counterstrike samtidigt på et 20 Mbit link, tror jeg godt de kan
> få din P3 1.4 Ghz til at dø af det. Counterstrike er nemlig en masse små
> UDP pakker. Og dem kan der være ret mange af på 10 Mbit.

Thomas Damgaard skrev først: "Jeg skal have indkøbt en server der skal køre
dedikeret firewall for nogle IIS og mssql servere."
Men ellers kan jeg godt gentage, at jeg nu kun har en P3 700 Mhz, og at en
P3 1.4 skulle være nok til at håndtere næsten hvad som helst.

I referrence til overstående kan jeg da nævne, at Cisco PIX'es er heller
ikke så stærke computere, fx er et FWSM (Firewall Switch Module for Cat6500)
kun en P3 1Ghz med 1GB RAM, og en 525 er kun en P3 600 Mhz med 256 MB RAM,
og det er altså temmelig potente firewalls. Det er selvfølgelig ikke Linux
med iptables, men sammenligningen er stadig relevant i forbindelse med
hardware platform diskussionen.

Hvad angår HL, så har du ret i at mange så UDP pakker kan udgøre et problem,
men for 1 CS  server med 16 spillere har genesnitligt ca 500 pps ind og ca
300 pps ud og i forhold til bits svarer det ca til 350 kbps ind og 500 kbps
ud (BEMÆRK det er uden pingboost og maxrate er sat 9999 og minrate er 2500).
DVS at på en 20 Mbits kan jeg have ca 40 CS serverer for at fylde
båndbreden, hvilket vil genere omkring 20000 pps i indgående traffic og ca
12000 pps udgående traffik.

Min 700 Mhz P3 håndtere gennesnitligt ca 600 pps ind og ca 1000 pps under
den belastning som jeg har nævnt tidligere. Jeg skal up på omkring
32.000-36.000 pps før min FW begynder at bruge hele sin CPU.

> Angreb ? Hmmmm..... Jeg tror ikke som sådan jeg er blevet angrebet, men
> der er da af og til nogen der portscanner mig, og af og til nogen der
> ser om der skulle være en port åben jeg har lukket for og så videre, er
> det et angreb ?

Et angreb kan være, fx at en eller anden sender dig flere tusinde flows med
fx 20.000 pps, men som regel vil din router dø før din firewall. (Selv mit
arbejdes Cisco GSR's 12006 har problemmer med at håndtere den slags
utilization)