On Thu, Jun 05, 2003 at 10:18:42AM +0200, Heiko Engler wrote:
> Hallo zusammen!!
>
> Ich habe ein kleines Problem mit der Dimensionierung des Paketfilters.
> Da hier ein Ausbau des Netzwerkes und damit auch des Netzwerkverkehrs ansteht,
> es werden im Maximum 10000 gleichzeitige Verbindungen vom und zum Internet
> auftreten, stellt sich die Frage ob die bisherige Paketfilter-Loesung (ipfw,
> FreeBSD 4.4) durch eine Hardware-Loesung (CISCO PIX oder NOKIA Checkpoint)
> ersetzt werden soll.
> Kurz, wie bekomme ich heraus wieviele gleichzeitige Verbindungen ipfw zulaesst??
Abgesehen von den state-tables wuesste ich jetzt nicht, wo es
ueberhaupt eine solche Begrenzung geben sollte. Und zu den
state-tables heisst es in src/sys/netinet/ip_fw.c:
* Dynamic rules are stored in lists accessed through a hash table
* (ipfw_dyn_v) whose size is curr_dyn_buckets. This value can
* be modified through the sysctl variable dyn_buckets which is
* updated when the table becomes empty.
dyn_buckets ist ein u_int32_t, das gibt dir also 2^32, also
ca. 4 Milliarden Verbindungen (naja, davor wird dir der Speicher
ausgehen). Ansonsten sehe ich jetzt auf Anhieb nicht, wo es
weitere Begrenzungen geben sollte.
Wenn du sicher gehen willst, lies aber bitte selbst den Code,
oder teste es in einem kleinen Netz mit 3 Rechnern. Auf einem
ein daemon, der auf einem Port listened, auf einem obiger Filter,
und auf dem letzten ein Script, das soviele Verbindungen aufmacht
wie nur moeglich (auf resourcelimits in /etc/login.conf und der
Shell achten!)
bye,
Harold
Verbindungen aufmacht
d
>
> MfG,
> Heiko
>
>
>
>
> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 05 Jun 2003 - 11:19:29 CEST