Re: [FRnOG] Firewall Linux contre Juniper
Damien Bobillot wrote: Le 2 oct. 07 à 01:08, MADdanny a écrit : Je vais peut-être (certainement) dire une connerie, mais est ce qu'il serait possible d'utiliser un GPU de malade (au pif, une 8800 Ultra) pour ce genre de traitement ? :) Comme ils ont déjà sorti une version dédiée au calcul, peut être qu'en lui greffant quelque ports gigabit (ou plus) on pourrait en faire un firewall matériel, non ? Pour faire des firewalls matériels, je pense qu'il faut plutôt voir du côté des ASIC (puces dédiées à un traitement applicatif donné), voir des FPGA (circuits programmables permettant de créer la puce que l'on veut). il existe déja ca chez AMD. c'est la technologie Torrenza, qui permet, sur une carte mere a plusieurs socket, d'avoir un (ou plusieurs) processeur amd et un autre ou plusieurs autres trucs a base de fpga dans les autres sockets http://en.wikipedia.org/wiki/Torrenza dans les fabriquants d'add-ons il existe: http://www.drccomputer.com/ http://www.xtremedatainc.com/ il doit bien etre possible de programmer des systemes d'acceleration dans ces trucs la ;D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On mar, 2007-10-02 at 22:33 +0200, Damien Bobillot wrote: FT s'intéresse à l'analyse temps réelle de trafic via des FPGA pour contrer les DDoS (j'ai vu une offre de stage sur ce sujet), mais je ne sais pas trop ce que cela a donné. Ils s'intéressaient (en partenariat avec Télécom Paris, Télécom Bretagne et l'INT) à un firewall haute vitesse relativement innovant. Ils avaient une version qui fonctionnait en soft (sur du Linux) et une version en hard (je me souviens plus si c'était du FPGA mais c'est possible). La version soft était codée en C++, j'ai bossé dessus en 2005 pour améliorer les performances (le trouc était basé sur la libpcap, y'avait beaucoup de recopies de trames et de temps perdu). On a utilisé la libipqueue (traitement netfilter en userspace) pour améliorer ça, mais on a pas vraiment eu le temps de faire de gros tests. Le projet en lui même date d'avant (cf http://www.get-telecom.fr/archive/34/CI04_Res_DDOS.pdf et https://bscw.enst-bretagne.fr/pub/bscw.cgi/3022800 ), et c'est le principe qui devait mener à de hautes performances (en gros, ne pas parcourir une liste de règles à chaque paquet mais plutôt parcourir une matrice en fonction des paramètres du paquet (ips, ports etc.) et arriver à un résultat OK/NOK). Le tout était encore expérimental à l'époque, je sais pas où ça en est maintenant. Cdt, -- Yves-Alexis Perez --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) /Xavier
