PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall - Datendurchsatz



23r0
20.09.03, 05:14
Hallo,

habe ein Problem - und leider keine Ansatzpunkte:

Ich bin mit der Absicherung eines Netzwerks beauftragt worden, habe aber leider keine Erfahrung damit. Hört sich jetzt vieleicht doof an, aber ich würde die Chance schon gerne nutzten. Zerstören kann ich nix, weils bisher ja schliesslich gar nicht abgesichert war.

Die Firewall Rules und alles bekomme ich hin. Mein Problem ist die Skalierung.
Gibt es eine Faustformel für z.B. IP-Tables Datendurchsatz?
Wie könnte ich, rein theoretisch, 100Mbit Durchsatz realisieren? Nur per Hardware Wall wie z.B. PIX oder auch mit was selbstgebautem?

Thx

LX-Ben
20.09.03, 11:33
Aus dem Beitrag habe ich zwei Fragen verstanden - richtig?

Zu 1: Beeinträchtigen iptables den Durchsatz?
Dazu habe ich mal unter einem stabilen InternetServiceproder
(der Leitungsdurchsatz schwankt ja auch) getestet, und zwar
unter ZoneAlarm3.x also auch Sygate5 per Win2k. Nach dem
Ergebnis lag der Durchsatzverlust bei zwei max. drei Prozent
[56k-Modem].

Zu 2: Ist eine Hardware-Firewall besser als eine Softwarelösung?
Vorm Durchsatz her wird sich das wohl nicht viel nehmen,
aber natürlich ist eine Hardwarelösung manipulations-
sicherer und damit besser.

mrsuicide
21.09.03, 14:51
Ergänzend möchte ich noch sagen, dass es (bei einer Softwarelösung) vom CPU abhängt.
Aber über 400 Mhz sollten sich aber keine Datendurchasatzschwierigkeiten mehr ergeben.

23r0
21.09.03, 18:20
ich will euch nicht verunsichern, aber eure beiden Antworten zielen auf Fragen ab die ich nicht gestellt habe.

Diese waren:
1. Skalierung: Gibt es eine Faustformel für den iptables Durchsatz?

2. Wie könnte ich, rein theoretisch 100Mbit Durchsatz realisieren?

Lieber LX Ben,

1. es geht nicht um 56k! Das schafft ja der letzte Schrottrechner sogar rein Softrwaremässig. 100Mbit Durchsatz konnte ich bisher nur bei proffessionellen Hardware Firewalls ab 16000 Euro sehen, daher meine Frage!

2. Eine Hardwarelösung ist im Vergleich zur Softwarelösung nicht besser??? Das seh' ich anders...

Das soll kein Flaming werden, aber was bringt mir das Forum wenn nicht der sinnvolle Austausch? Einfach nur posten um des postens Willen kanns nicht sein...

Trotzdem Danke.

Harry
21.09.03, 18:30
Original geschrieben von 23r0
ich will euch nicht verunsichern, aber eure beiden Antworten zielen auf Fragen ab die ich nicht gestellt habe.

Diese waren:
1. Skalierung: Gibt es eine Faustformel für den iptables Durchsatz?
Nein.



2. Wie könnte ich, rein theoretisch 100Mbit Durchsatz realisieren?
Rein theoretisch, indem zwei 100er-Netzwerkkarten in der Firewall installiert und konfiguriert werden.

Harry

LX-Ben
21.09.03, 19:16
"Das soll kein Flaming werden."
RE: Ist es auch nicht. Es ist natürlich
günstiger, bei solch speziell gemeinten
Fragestellungen etwas deutlicher zu werden.

Unabhängig davon wird es die meisten user
mit 'normalem Inetzugang' (einschl. DSL) schon
positiv überraschen (wie mich damals auch), dass
Firewalls eine kaum messbare Bremse sind :)

Jasper
21.09.03, 19:33
harry hat im prinzip alles gesagt, hir noch mein senf:


Original geschrieben von 23r0
1. Skalierung: Gibt es eine Faustformel für den iptables Durchsatz?


durchsatz == nettodurchsatz der netzwerkkarten. der rest ist mit blech (cpu,speicher) zu erschlagen.



2. Wie könnte ich, rein theoretisch 100Mbit Durchsatz realisieren?


kein problem. 100mbit durchsatz bei einem paketfilter mit einem durchdachten, nicht zu komplexen regelset ist spielend zu schaffen.

ben hur von pyramid basiert bspw. auf iptables und kostet keine EUR 16K.

-j

swen1
22.09.03, 07:51
Original geschrieben von 23r0
100Mbit Durchsatz konnte ich bisher nur bei proffessionellen Hardware Firewalls ab 16000 Euro sehen
Da hast Du wohl nicht sehr gründlich nachgesehen :ugly:
Es gibt etliche Firewalls (z.B. von Cisco, Netscreen, Watchguard, Sonicwall, Pyramid, Zyxel, usw.), welche 100Mbit und mehr Datendurchsatz bieten und nur eine Bruchteil von 16000 EUR kosten!!!

Gruß Swen

23r0
25.09.03, 03:34
Hey - Vielen Dank für die rege Beteiligung.
Habe viel gelernt zum Thema in nur ein paar Tagen, und das Forum hier hat mir
unter anderem auch sehr geholfen.

Da ich überall nur BSD Unixe als Router oder Packet-Filter sehe, könnt Ihr Euch erklären wie das zustande kommt. Haben die Performance Vorteile einem Linux
gegenüber? Ich konnte bei meinen Recherchen nix finden, aber die Häufigkeit der BSDs ist auffällig. Man sagt zwar das es Teils einen Sicherheits-Vorteil gäbe - allerdings sehe ich das nicht so...

Und was mich am meisten wundert ist dass im Linux-Anfänger HowTo steht dass iptables designed wurde um quasi dial-up bzw. Homeandwender glücklich zu machen und es wird dafür gewarnt iptables in large environments einzusetzten. Nach allem was ich bisher gelernt habe seh' ich das eigentlich auch anders. Nur
uneigentlich hab ich halt noch Zweifel...

BTW:
http://tldp.org/LDP/intro-linux/Intro-Linux.pdf
Seite 178 unter Packet filter


Thx

23r0
25.09.03, 03:35
BTW: Ich war vorgestern auf der Symantec Roadshow in FFM und es war völlig abartig...

cane
25.09.03, 08:20
Und was mich am meisten wundert ist dass im Linux-Anfänger HowTo steht dass iptables designed wurde um quasi dial-up bzw. Homeandwender glücklich zu machen und es wird dafür gewarnt iptables in large environments einzusetzten. Nach allem was ich bisher gelernt habe seh' ich das eigentlich auch anders. Nur

Wer weiß wo der Autor arbeitet;)
Kannst mit Iptables eigentlich schon eine sehr ausgereifte Firewall aufsetzen.

Wer mehr weiß verbessere mich bitte...

cu
cane

mrsuicide
25.09.03, 14:51
Original geschrieben von 23r0
BTW: Ich war vorgestern auf der Symantec Roadshow in FFM und es war völlig abartig...
Führe deine Erklärung doch mal etwas weiter aus!

23r0
26.09.03, 23:03
Gerne:
Ich fands einfach völlig überflüssig und teilweise sogar albern (leider nicht mehr wirklich amüsant).
Eine komplette Branche verdient mit einer Nullnummer ihr Geld und lästert ständig über "die Hand die sie füttert" (die bööööösen Hacker) ab.
Die bööösen Virenautoren würden mittlerweile den grössten Schaden anrichten wenn sie damit aufhören.

mrsuicide
27.09.03, 00:04
Original geschrieben von 23r0
Gerne:
Ich fands einfach völlig überflüssig und teilweise sogar albern (leider nicht mehr wirklich amüsant).
Eine komplette Branche verdient mit einer Nullnummer ihr Geld und lästert ständig über "die Hand die sie füttert" (die bööööösen Hacker) ab.
Die bööösen Virenautoren würden mittlerweile den grössten Schaden anrichten wenn sie damit aufhören.
Eben. Man kann mit viel Mist Geld verdienen.
Von Dieter Bohlen bis hin zu Symnatec.