Hi. Vielleicht hat hier jemand Erfahrung damit: Ich möchte eine Firewall/Router auf x86 Basis mit einer der üblichen Firewalldistributionen wie z.B. pfsense, oder manuell eingerichtet unter Debian realisieren. Wieviel Rechenleistung/Ram benötige ich etwa, wenn ich das System so auslegen will, dass es 100 Mbit/s + Reserve schafft? Welche Leistung ist erforderlich, wenn ich es auf Gigabit Ethernet auslegen möchte?
Ein Vergleichswert: 1GHz Pentium III (Coppermine), 256MB Ram Langweilt sich als Firewall mit 3x 100MBit Ethernet + OpenVPN. Ca. 1000 IPTables-Rules sind aktiv (incl. contrack für FTP etc), Load ist < 0.01. Die meiste Rechenzeit verbraucht der snmpd. D.h. jeder Atom-Stromspar-PC sollte dafür locker reichen. Bei Gigabit hingegen muss man schon tief in die Tasche greifen, damit die Hardware schnell genug die Daten von einem Interface zum andern schaufeln kann, ganz ohne Firewall dazwischen.
Rechenleistung ist vor Allem dann ein Thema, wenn die Firewall in hohem Umfang ver/entschlüsseln muss, d.h. wenn sie den Endpunkt durchsatzstarker VPNs bildet. Solange man mit einem 100Mbps Ethernet nur Daten von links nach rechts und zurück schaufelt ist jeder Rechner der letzten 10 Jahre schnell genug.
Oli schrieb: > Welche Leistung ist erforderlich, wenn ich es auf Gigabit Ethernet > auslegen möchte? Naja, Gigabit-Ethernet bekommst du ja schon ohne Firewall mit normaler PC-Technik kaum zu 100 % Geschwindigkeit geroutet. Die meisten Billig-NICs bringen's doch nicht auf viel mehr als 50 % davon, oder? Ansonsten: für normales DSL habe ich vor kurzem endlich meinen Firewall mit einem i486/75 durch einen mit einem Pentium II mit stolzen 360 MHz CPU-Takt ersetzt. Seitdem ist der Durchsatz wirklich höher geworden. :-) Der i486/75 hat dabei sogar eine zeitlang noch einen IPsec-Tunnel gefahren, allerdings war die Leitung damals noch eine mit der ursprünglichen DSL-Geschwindigkeit (was war das gleich? 768 kbit/s downstream, glaub ich). Das sollte so ungefähr die Grenze aufzeigen.
Jörg Wunsch schrieb: > Naja, Gigabit-Ethernet bekommst du ja schon ohne Firewall mit normaler > PC-Technik kaum zu 100 % Geschwindigkeit geroutet. Die meisten > Billig-NICs bringen's doch nicht auf viel mehr als 50 % davon, oder? Wenn man ernsthaft 1Gbps anpeilt, dann sollte man nicht ausgerechnet auf die auf den billigen Karten fast durchweg zu findenden Realteks setzen, klar doch. Da geht man dann besser auf Broadcom oder Intel - soo arg teuer sind die auch nicht und insbesondere bei den bei Firewalls/Routern naheliegenden Multi-Port Karten sind die sowieso verbreiteter.
Εrnst B✶ schrieb: > 1GHz Pentium III (Coppermine), 256MB Ram > Langweilt sich als Firewall mit 3x 100MBit Ethernet + OpenVPN. > Ca. 1000 IPTables-Rules sind aktiv (incl. contrack für FTP etc), Load > ist < 0.01. > Die meiste Rechenzeit verbraucht der snmpd. Die Firewall läuft aber im Kernel Space. Kann gut sein, dass CPU/Busse gut ausgelastet sind. Mit top & co lässt sich darüber nix aussagen. Ich habe ein kleines alix Board zu Hause, das macht WiFi und 4x 100Mbit/s Ethernet. Auch mit eingeschalteter Firewall ist es möglich, die 55Mbit/s voll auszureizen (WLAN<->LAN).
alixroxx schrieb: > Die Firewall läuft aber im Kernel Space. Kann gut sein, dass CPU/Busse > gut ausgelastet sind. Wenn man 3 gut ausgelastete 100Mb an einem einzigen PCI-Bus hängen hat, dann wird's dort schon etwas grenzwertig.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.