Re: Hardware für Paketfilter-Firewall

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 20 Sep 2005 12:03:55 +0200 (CEST)

Ingo Rohlfs <ingo.rohlfs(at)gmx.de> wrote:
> eine Frage an die Hardware-Spezialisten: Welchen Rechner kann ich gut
> für einen Paktefilter verwenden?

Grundsätzlich ist für einen Paketfilter guter I/O-Durchsatz
wichtig (bezogen auf Prozessor, Bus und Netzwerkkarten,
nicht auf Festplatten). Übermäßig schnell muß der Prozes-
sor allerdings nicht sein (Celeron-Niveau von vor drei Jah-
ren genügt), auch RAM ist nicht so wichtig.

> Ich will eine grössere Organisation mit stärkerem Zugriff nach aussen
> abschirmen. Das klassische Dreibein genügt, allerdings sollte das
> 100 MBit-Netz nicht wesentlich gebremst werden. Der Rechner darf nicht
> ausfallen, Verfügbarkeit ist sehr wichtig.

Wenn Verfügbarkeit so große Bedeutung hat, führt kein Weg
um zwei getrennte Rechner vorbei. Auf welche Weise Du sie
anbindest hängt davon ab, welche Offline-Zeit im alle eines
Ausfalls toleriert wird -- wenn ein, zwei Minuten noch ak-
zeptiert werden, genügt es, einen der zwei als Hot-Standby
einzurichten und einfach manuell umzuswitchen. Ansonsten
brauchst Du sowas wie VRRP oder CARP (oder was selbstge-
schnitztes).

> In meiner Naivität denke ich mir, ich kaufe einen simplen Rechner, am
> liebsten einen leistungsfähigen SBC ohne Lüfter und Festplatte, und
> spiele Open/FreeBSD + pf auf.
>
> Nur: welche Hardware nehme ich da am Besten? Welchen Durchsatz haben z.B. die
> oft besprochenen Soekris 4501?

Die haben 486er-Niveau; das reicht nicht. Eventuell bietet
sich eher eines der neueren VIA-EPIA-Boards an, die es in
lüfterlosen Konfigurationen gibt und deren Leistung -- je
nach Prozessortakt -- so zwischen Celeron-500 und -1000 an-
zusiedeln ist, grob geschätzt. Der I/O-Durchsatz ist nicht
besonders, sollte aber genügen.

Wichtig ist, daß Du auch vernünftige Netzwerkkarten vor-
siehst, also kein Realtek oder anderes Billigzeug. Wenn
Du auf 100base-TX bleiben willst, ist fxp (intel Ether-
Express) der Standard, der häufig empfohlen wird. Auch
mit DEC-Tulip-basierten Karte (dc(4)-Treiber) habe ich
gute Erfahrungen gemacht. Natürlich kannst Du auch gleich
eine der gängigen Gigabit-Ethernet-Karten vorsehen -- auch
wenn Du sie nur an einen 100base-TX-Switch hängst, profi-
tierst Du von ihren Features wie etwa Checksummen in Hard-
ware, was den Prozessor entlastet.

Für den Betrieb würde ich ein zurechtgestricktes FreeBSD
empfehlen, das von CF-Karte gebootet wird (read-only).

> Oder ist man mit einer Cisco PIX besser bedient?

Bei denen hätte ich kein gutes Gefühl; irgendwie sind die
weder Fisch noch Fleisch. Auf der einen Seite Overkill,
auf der anderen Seite unflexibel.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"That's what I love about GUIs: They make simple tasks easier,
and complex tasks impossible."
        -- John William Chambless
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 20 Sep 2005 - 12:05:12 CEST

search this site