Сервер-Firewall
Модераторы: Trinity admin`s, Free-lance moderator`s
Сервер-Firewall
Возникла необходимость поставить железный фаервол на 1 сервер, чтобы он фильтровал трафик, так как сейчас канал сервера 100Мбит почти весь забивается UDP флудом.
Проблема в том, что непонятно как побрирать конфигурацию под это дело. В сервер-firewall будет 2 входящих порта по 100Мбит, которые надо будет объединить (200Мбит в сумме), а исходящий порт в сервер будет 1.
На сервере-firewall планируется, скорее всего, использование iptables (если конечно для этого дела они подойдут) для сбрасывания бана IP адресов, которые посылают, например, более 10 пакетов в секунду одного размера. По возможности еще и по содержимому проверять пакеты.
Какую конфигурацию лучше выбрать? Винты тут особой роли не играют. Я так понимаю, что нужен довольно мощный процессор(ы) и оперативка?
Проблема в том, что непонятно как побрирать конфигурацию под это дело. В сервер-firewall будет 2 входящих порта по 100Мбит, которые надо будет объединить (200Мбит в сумме), а исходящий порт в сервер будет 1.
На сервере-firewall планируется, скорее всего, использование iptables (если конечно для этого дела они подойдут) для сбрасывания бана IP адресов, которые посылают, например, более 10 пакетов в секунду одного размера. По возможности еще и по содержимому проверять пакеты.
Какую конфигурацию лучше выбрать? Винты тут особой роли не играют. Я так понимаю, что нужен довольно мощный процессор(ы) и оперативка?
Re: Сервер-Firewall
Взять процессор постарше и пару хороших сетевых карт. Память сейчас недорогая, 8Гб должно быть "за глаза".
С уважением, Александр.
Re: Сервер-Firewall
А между сервер-firewall и сервером обычным должен стоять свитч или можно напрямую фаервол с сервером соединить?
-
- Advanced member
- Сообщения: 138
- Зарегистрирован: 19 ноя 2003, 15:49
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Сервер-Firewall
peace писал(а):Я так понимаю, что нужен довольно мощный процессор(ы) и оперативка?
Исходящий канал всего 200 Mbit. С задачей фильтрации такого трафика справится любой Celeron предыдущих поколений. Тем более, что никаких сложных конфигураций с тысячами правил iptables не предполагается... IMHO, сильный процессор, также как и куча RAM, здесь просто не нужны...LCF_R писал(а):Взять процессор постарше
-
- Advanced member
- Сообщения: 138
- Зарегистрирован: 19 ноя 2003, 15:49
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Сервер-Firewall
Без разницы...peace писал(а):А между сервер-firewall и сервером обычным должен стоять свитч или можно напрямую фаервол с сервером соединить?
- kim_aa
- Advanced member
- Сообщения: 118
- Зарегистрирован: 24 ноя 2011, 16:30
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Сервер-Firewall
1) Я бы рекомендовал использовать специализированные дистрибутивы типа Vyatta.
Тогда достаточно просто подобрать конфигурацию по необходимой мощности.
2) С точки зрения отказоустойчивости и быстродействия (агрегация каналов) лучше всего подбирать платформы с четным числом интерфейсов.
Минимум это 4 интерфейса.
3) Свич выгоднее всего использовать управляемый.
Тогда при помощи VLAN можно настроить несколько сетей.
Тогда достаточно просто подобрать конфигурацию по необходимой мощности.
2) С точки зрения отказоустойчивости и быстродействия (агрегация каналов) лучше всего подбирать платформы с четным числом интерфейсов.
Минимум это 4 интерфейса.
3) Свич выгоднее всего использовать управляемый.
Тогда при помощи VLAN можно настроить несколько сетей.
Re: Сервер-Firewall
Вот, например, скачивание файла с сервера с 1 IP адреса со скоростью 100Мбит сам процессор не нагружает. А, скажем, 100 000 запросов в секунду на 50Мбит загружают целое ядро ксеона 56 серии. А если на сервер-фаервол ставить, как посоветовали Celeron или Atom, то с учетом изучения каждого пакета, думаю он просто не справится.
- kim_aa
- Advanced member
- Сообщения: 118
- Зарегистрирован: 24 ноя 2011, 16:30
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Сервер-Firewall
1) Вот Sizing для vyatta + сравнение с Cisco
http://www.vyatta.com/sites/vyatta.com/ ... uide_0.pdf
2) Скорость работы фаервола в первую очередь зависит от сложности правил.
3) Не нужно забывать про сетевые адаптеры.
А то ставят люди RTL, а потом удивляются почему у них 30МБ/c с гигабита и загрузка процессора 30% на пустом месте.
http://www.vyatta.com/sites/vyatta.com/ ... uide_0.pdf
2) Скорость работы фаервола в первую очередь зависит от сложности правил.
3) Не нужно забывать про сетевые адаптеры.
А то ставят люди RTL, а потом удивляются почему у них 30МБ/c с гигабита и загрузка процессора 30% на пустом месте.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей