sslug-teknik team mailing list archive

Thread
Date

Re: Hardwarevalg til firewall?

To: <sslug-teknik@xxxxxxxx>
From: "Valdemar Lemche" <valdemar@xxxxxxxxxx>
Date: Tue, 9 Sep 2003 14:24:07 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

> Min firewall døde ved 40 Mbit. Det var en P4 2000 Mhz. Jeg kan desværre
> ikke huske antal pakker i sekundet. vmstat sagde at den brugte ialt
> cirka 35% af sin CPU, men den kunne alligevel ikke spytte mere igennem.
>
hmm hvilket disto/kernel bruger du? for en P4 2Ghz er temmelig potent
maskine. Kører du snort eller ntop på din firewall? hvilket slags traffik?

> Jeg har ved andre lejligheder nemt kunne presse 100 Mbit igennem en
> linux box. En P133 kan jeg presse cirka 10-15 Mbit igennem. Men hvis jeg
> sætter pakke størrelsen til <100 bytes, kan jeg nok ikke trække ret
> meget.
>
> Lige nu laver en firewall ved mig 19 Mbit. Det er 4000pps. CPU
> belastning er på 25%, og der er 7000 interrupts i sekundet.
>
> Min erfaring siger mig at den begynder at sløve ned ved 15000 interrupts
> i sekundet. Altså dør maskinen af for mange interrupts, inden vmstat
> fortæller mig at CPU belastningen er på 100%. Og vi er sandsynligvis
> ikke nået 50 Mbit endnu.
>
jeg lavede lige nu en hurtig lille test:
jeg åbnede for 9/udp på en maskine bag min firewall, og kørte "
while true; do tcpblast -s 100 -u x.x.x.x 9999; done" på en maskine på den
samme switch som firewallens ydre ben, eth2.

samtidigt kørte jeg på firewallen:

# while true; do cat /proc/interrupts ; sleep 1; done | grep "eth2"
<SNIP>
  5: 2651393166          XT-PIC  eth1, eth2, eth3
  5: 2651416199          XT-PIC  eth1, eth2, eth3
  5: 2651440279          XT-PIC  eth1, eth2, eth3
  5: 2651462126          XT-PIC  eth1, eth2, eth3
  5: 2651485498          XT-PIC  eth1, eth2, eth3
  5: 2651507635          XT-PIC  eth1, eth2, eth3
  5: 2651528939          XT-PIC  eth1, eth2, eth3
  5: 2651553172          XT-PIC  eth1, eth2, eth3
  5: 2651575667          XT-PIC  eth1, eth2, eth3
  5: 2651598679          XT-PIC  eth1, eth2, eth3
  5: 2651621275          XT-PIC  eth1, eth2, eth3
  5: 2651643719          XT-PIC  eth1, eth2, eth3
  5: 2651666268          XT-PIC  eth1, eth2, eth3
  5: 2651689530          XT-PIC  eth1, eth2, eth3
  5: 2651714463          XT-PIC  eth1, eth2, eth3
  5: 2651736162          XT-PIC  eth1, eth2, eth3
</SNIP>
Og i en anden terminal kørte jeg top, hvor CPU states var omkring 35%-45%
system.

Et typisk output fra tcpblast var således:
  976 KB in     360 msec  =  22220000.0 b/s  =  2777500.0 B/s  =  2712.40
KB/s

Det er næsten 28 pakker/msec.


> Hvis det er et angreb, har jeg aldrig oplevet et. :)

Jeg arbejder for in større internet udbyder i Israel, så vi bliver konstant
angrebet. Heldigvis er jeg ikke netværk administrator, for de har det
virkelig hårdt.

Follow ups

Re: Hardwarevalg til firewall?
From: Jesper Lund, 2003-09-09

References

Hardwarevalg til firewall?
From: Thomas D, 2003-09-08
Re: Hardwarevalg til firewall?
From: Valdemar Lemche, 2003-09-08
Re: Hardwarevalg til firewall?
From: Jesper Lund, 2003-09-08
Re: Hardwarevalg til firewall?
From: Valdemar Lemche, 2003-09-09
Re: Hardwarevalg til firewall?
From: Jesper Lund, 2003-09-09
Re: Hardwarevalg til firewall?
From: Valdemar Lemche, 2003-09-09
Re: Hardwarevalg til firewall?
From: Jesper Lund, 2003-09-09