© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Heiko Engler <engler(at)dialogs.de> wrote:
> Ich habe ein kleines Problem mit der Dimensionierung des Paketfilters.
> Da hier ein Ausbau des Netzwerkes und damit auch des Netzwerkverkehrs ansteht,
> es werden im Maximum 10000 gleichzeitige Verbindungen vom und zum Internet
> auftreten, stellt sich die Frage ob die bisherige Paketfilter-Loesung (ipfw,
> FreeBSD 4.4) durch eine Hardware-Loesung (CISCO PIX oder NOKIA Checkpoint)
> ersetzt werden soll.
> Kurz, wie bekomme ich heraus wieviele gleichzeitige Verbindungen ipfw zulaesst??
Prinzipiell haben weder IPFW noch IPF ein »hartes« Connec-
tion-Limit. Interessanter als die Anzahl der Connections
wäre eher die Anzahl der Pakete pro Sekunde und/oder das
Gesamtvolumen, das durch die Kiste durchgeht. Hier sollte
man eine adäquate CPU und Netzwerkinterfaces haben. Natür-
lich spielt auch die Anzahl der Rules eine entscheidende
Rolle, sowie deren Organisation (Reihenfolge, Gruppierun-
gen, »early-out«).
Last but not least gibt es noch eine Reihe von sysctls; im
Falle von IPFW unter net.inet.ip.fw, insbesondere auch die
dyn_*). Allerdings glaube ich eigentlich nicht, daß Du da
etwas tunen mußt (man sollte da auch schon sehr genau wis-
sen, was man tut, und was die Auswirkungen sind).
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "The idea that Bill Gates has appeared like a knight in shining armour to lead all customers out of a mire of technological chaos neatly ignores ignores the fact that it was he who, by peddling second-rate technology, led them into it in the first place." -- Douglas Adams (1952-2001) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 05 Jun 2003 - 11:10:25 CEST