sslug-teknik team mailing list archive

["Valdemar Lemche" <valdemar@xxxxxxxxxx>]

> Maskinen kørte noget ULOG, der logger til en ekstern MySQL database.
> Debian 3.0 stable, og kerne 2.4.20. Netkortene var Intel 100 Mbit server
> kort. Dem var der 4 af. Jeg vil tro der er et par hundrede regler i den.

Logging er dyrt, og bør IMHO kun bruges local på firewallen, hvis du
debugger et eller andet. Og fordi iptables logger alligevel kun packet
headers, og siden det er et log entry per pakke, kan det være svært at holde
sig orienteret på et mere overordnet niveau, om hvad der egentlig foregår.
Jeg vil anbefale dig at konfigure en mirror port på den switch, som din
firewalls ydre ben ligger på. Forbinde et sekundært ben fra en maskine med
snort, og lade snort bruge en mysql server some backend. Så kan du bruge
acidlab til få et temmeligt god overblik, hvad der foregår på din firewall.
Acidlab vil kategorisere alerts, du skabe grafer og er generalt set et
rigtig god værktøj. Jeg kan iøvrigt også anbefale ntop, det er også et
rigtig godt værktøj. Der er debian woody pakker for alle 3 værktøj. :D

> Gad vide hvad forskellen har været ?

Jeg tror ikke, at logging er den eneste forskel, husk også på at jeg bruger
også Andrea Arcangeli's rc5aa1 patch for 2.4.19, som er en patch pakke med
et par hundrede patch'e, hvilket gør en linux kernel en hel del mere ... hmm
... ydende, men har en lille men alligevel nævnbar negativ effect på
stabilitet. Det er dog ikke er et stor problem for andre maskiner, end min
egen half-life server som kernel panikker ca. en gang om måneden, men jeg
tror pga det er en dual AMD MP plus konstant høj ydelse. Hvorimod de andre
server, hvor jeg bruger rc5aa1, er Intel processore med ingen eller kun
middlemådig ydelse.