Hardwares Tűzfal (FreeBSD)

UNIX haladó

Hello
Jópár hete szenvedek egy hardwares tűzfallal.
A Rendszer tökéletesen működik azt leszámítva, hogy csak 400Mbit-et bír el a gép.
3.2Ghz P4, 1GB DDRII. Gondolkoztam azon hogy a hálókarik terhelik a gépet.

Általában 68%-os visz a SYSTEM 26%-ot az interrupt. És csak 400Mbit-et bír. azaz 800 Mbitet, mert Hídként van konfigurálva.

Kérdés:
Ha veszek bele egy 31 ezer forintos PCI-E -es Intel Pro/1000 Dual Port Server Adaptert akkor vele működni fog? Vagy mindenféleképpen kell hozzá egy DualXeonos bika gép?

Még1kérdés, és akkor mivan ha 2db 10Gb -es karit rakok bele? :)
Ahhoz milyen gép kell? :)

köszi!

  • 1799 megtekintés

( trey | 2007. 05. 09., sze – 18:46 )

Szerintem a hardveres tűzfal az nem ez. A célberendezéseket hívják hardveres tűzfalnak. Pl. Cisco Pix.

A CPU tehermentesítésén valószínűleg TOE-s hálókártya segítene (pl. Intel egyes kártyái), de a FreeBSD 6.x (AFAIK) driver-ei nem támogatják egyelőre a TOE-t (TCP Offload Engine). Majd a 7.x-ben. Legalábbis ezt ígérték. TSO-val (TCP/IP segmentation offload) is lehet tehermentesíteni a CPU-t, ezt FreeBSD csak az "em" (Intel) driver tudja. Szóval szerintem Intel kártya.

--
trey @ gépház

( bastya_elvtars | 2007. 05. 09., sze – 18:48 )

IPFW a tűzfal? Milyen kártyák?
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006 (vigyázat: memetikai dágvány!!!11)

Lényegtelen hogy, minek nevezzük a hardwares tűzfal vagy egy router szerepét betöltő gépről lenne szó.
1Gbps -et szeretnék védeni külső belső támadásoktól (synflood, arpspoof) stb.

IPFW -vel csinálom, de ha az IPFW kivan kapcsolva akkor se megy teljes sávval(2Gbps helyett 800Mbit).
Jelenleg egy TP-Link gigabit (2.000forint), D-Link DGE-528T (3.000forint) -os kártyák.

D-Linket NDIS driverrel hajtom, mivel nem ismerte fel az re.

Nem tudom, mostanában nem csináltam teszteket. Én a helyedben írnék a freebsd-net listára, és megkérném a fejlesztőket, hogy ők ajánljanak adaptert. Valószínűleg ők tudják, hogy mi a legjobb befektetés. Így megkíméled magad attól, hogy feleslegesen kidobj több tízezer forintot egy olyan kártyára, aminek a jövőben a támogatása nem lesz a legjobb. Egy biztos, hogy az Intel vezető ezen a területen, én biztos, hogy Intel (em) kártyában gondolkoznék.

Egyébként az Intel dual portos kártyáit láttam dícsérni FreeBSD listán. Magam nem teszteltem komolyabban.

BTW: tavaly augusztusban került új szerver a HUP alá. A régi szerverben Intel kártya (em) volt, az újban Broadcom (bge).

http://hup.hu/old/stat/portal.fsn.hu-if_errcoll_bge0-year.png

Nem tudom minek tudható be (szar driver?), de azóta nulláról látható mértékűre nőttek az "input error" hibák. Hacsak a munin nem hazudik. :)

--
trey @ gépház

Csatlakozom trey-hez: ezeket a kártyákat asztali gépbe se nagyon tenném, alig jobbak, mint a realtek 8139. Nekem 2 Planet ENW-9607 van (Marvell), és nagyon szépen megy az sk driverrel, szintén bridge, igaz, csak 100Mbit, de nekem 20-30% CPU-használat szokott lenni egy 1,2 GHz-es celeronnal.
Ami fontos: szerintem az ipfw-t is felejtsd el.
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006 (vigyázat: memetikai dágvány!!!11)

Nekem az IPFW nagyon zabálta a gépet, pf kevésbé.
Igaz, a pf kevesebbet tud (annyival, hogy nem tudsz mac address alapján szűrni), de sokkal egyszerűbben konfigurálható (listák, makrók, anchor-ok és kényelmes szintaxis).
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006 (vigyázat: memetikai dágvány!!!11)

( ricsip v | 2007. 05. 09., sze – 19:17 )

Nem akarok beleugatni, de a rezes gigabit az eléri / megközelíti az elméleti határt?

( davies | 2007. 05. 09., sze – 19:26 )

Elvileg pár méteren belül elkéne neki. (CAT5e)