Re: [FRnOG] Firewall Linux contre Juniper
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ronnie Garcia a écrit : Geoffroy DESVERNAY a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Les 'Netscreen' peut-être, par contre les plus anciens (M7i par ex.) a éviter pour du firewall (testé et désaprouvé). Entre autres: Peu de suivi de session FTP Pas d'états en IPv6 25 à 30% de sessions TCP (normales) interrompues par le firewall au bout de qques temps (Case ouvert depuis + de 6 mois chez Juniper) = nous, on est reparti en OpenBSD transparent + pf (et un pf.conf ça se configure bien ;) Par contre au niveau des perfs ? Tu tiens combien de pps sur ton OBSD et avec quel hardware ? Combien de lignes ton pf.conf ? Pour les perfs aucune différence notable dans notre cas, hormis les #netstat des serveurs qui ne font plus de 'connection failed'... Le pf.conf n'est pas énorme (- de 2000 machines derrière), et les 'gros débits' passent bien (lien fibre 1G sur la plaque métropolitaine), y compris le multicast et l'IPv6 ;) J'ai pas essayé avec 1G de paquets de 64 octets. mais je ferais ça un de ces jours :) Ceci dit, c'est valable dans notre cas particulier, je ne dis pas pour un 'vrai' ISP... ceci dit, un firewall hard avec un pf.conf j'aimerais bien ;) - -- Geoffroy DESVERNAY - Mail: [EMAIL PROTECTED] -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHEHWAP0J0k1oxrdoRAgDvAJ9saxRlwqPhnEo+6kk5M9SSo6KqOwCfeSdJ jMMYptAatI0KAvWZ8wjesKY= =DI9M -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Geoffroy DESVERNAY a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Les 'Netscreen' peut-être, par contre les plus anciens (M7i par ex.) a éviter pour du firewall (testé et désaprouvé). Entre autres: Peu de suivi de session FTP Pas d'états en IPv6 25 à 30% de sessions TCP (normales) interrompues par le firewall au bout de qques temps (Case ouvert depuis + de 6 mois chez Juniper) = nous, on est reparti en OpenBSD transparent + pf (et un pf.conf ça se configure bien ;) Par contre au niveau des perfs ? Tu tiens combien de pps sur ton OBSD et avec quel hardware ? Combien de lignes ton pf.conf ? -- Ronnie Garcia r.garcia at ovea dot com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack [EMAIL PROTECTED] a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) /Xavier
Re: [FRnOG] Firewall Linux contre Juniper
Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] [EMAIL PROTECTED] To: John Fistack [EMAIL PROTECTED] Cc: frnog@frnog.org frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack [EMAIL PROTECTED] a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) /Xavier
Re: [FRnOG] Firewall Linux contre Juniper
Bonjour, John, on ne connait pas les deadline de ton projet par contre une chose qui serait bon pour toi serait peut être de faire ce calcul : Combien ça te coûterai en matériel + jours/homme par type de solution ? pour tester fonctionnellement, tuner et qualifier la solution ? Je pense que les 2 solutions (firewall fait maison et firewall appliance) sont correctes. On pourra tjrs débattre pour gagner 2 paquets de + à traiter sur n'importe quelle solution, de ttes manières il te faut une marge de sécurité en cas d'augmentation de trafic. Personnellement je partirai sur du Juniper, sachant que tu cherches à avoir 2Gbps en débit garanti, ne prend pas le SSG-550, il ne convient pas par rapport à tes contraintes (Olivier MELWIG l'a dit qques mails avant), l'ISG 2000 irait bien. pour les questions de petits paquets l'ISG a un design hard qui permet d'encaisser ces petites bêtes qui rongent les équipements ;) Question configuation je ne pense pas que ce soit un pb de migrer tes 9000 polices dans un autre équipement (un bon script avec qques regex ça le fait, du moins ça devrait le faire :) ). Cdlt, -- Christophe VIAUD Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] [EMAIL PROTECTED] To: John Fistack [EMAIL PROTECTED] Cc: frnog@frnog.org frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack [EMAIL PROTECTED] a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de
RE: [FRnOG] Firewall Linux contre Juniper
Oups, Il doit y avoir confusion l'ISG2000 supporte 4G pour du trafic mixte ou 2 G de trafic uniquement constitué de petits paquets (64octets) avec un temps de latence moyen de 45 microsecondes. Il supporte effectivement BGP (limité à 2 routes) OSPF RIP du VRF, et du multicast IP (PIM seulement). http://www.itslabs.com/tests/its04002.jhtml Damien _ De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN Envoyé : jeudi 4 octobre 2007 15:48 À : [EMAIL PROTECTED] Cc : frnog@frnog.org Objet : Re: [FRnOG] Firewall Linux contre Juniper Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] [EMAIL PROTECTED] To: John Fistack [EMAIL PROTECTED] Cc: frnog@frnog.org frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_se ries_slash_gprs/ http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_s eries_slash_gprs/ Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack [EMAIL PROTECTED] a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) /Xavier
RE: [FRnOG] Firewall Linux contre Juniper
40Gbps tu dois confondre avec un autre...le 2000 c'est 2G en FW en 1G en VPN...le plus gros a savoir le netscreen 5400 gère 12Gbps en FW et 6Gbps en VPN... Il faut aussi prendre en compte le nombre de sessions, et pas besoin d'avoir 500 Mbps de traffic pour atteindre les 128 000 sessions d'un SSG550 par exemple...ca dépends des flux... Bonne journée. Maël _ De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN Envoyé : jeudi 4 octobre 2007 15:48 À : [EMAIL PROTECTED] Cc : frnog@frnog.org Objet : Re: [FRnOG] Firewall Linux contre Juniper Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] [EMAIL PROTECTED] To: John Fistack [EMAIL PROTECTED] Cc: frnog@frnog.org frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_se ries_slash_gprs/ http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_s eries_slash_gprs/ Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack [EMAIL PROTECTED] a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) /Xavier
Re: [FRnOG] Firewall Linux contre Juniper
Bonjour, Juste quelques questions simples sur ce problème, parce que je n'ai encore jamais eu de réseau public à 2Gbps à gérer : 1) A quoi sert un firewall devant des serveurs webs ? J'imagine bien sûr que le seul port utile est accessible. 2) Ou autrement dit, quels paquets faudrait-il filtrer qui ne doivent pas arriver aux serveurs eux-mêmes ? 3) Comme j'imagine que ce sont les serveurs webs eux-mêmes qui saturent le plus en cas de fort débit, quel est l'inconvénient de faire le filtrage devant eux ? Merci par avance, A bientôt, Bernard Dugas Somebody wrote: 90 % de mon transit est en paquet de pages web de petites tailles. Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? -- __Bernard DUGAS _ | IS Production s.a. Innovative Solutions Production | | Technoparc Pays de Gex [EMAIL PROTECTED] | | 30 Rue Auguste Piccard Mob.: +33 615 333 770 | | 01630 St Genis Pouilly - FRANCE -Fax : +33 450 205 106 | |_| --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Je confirme, erreur de ma part. Au temps pour moi :) Par contre, je vois pas avec quoi j'ai confondu... Greg - Original Message - From: [EMAIL PROTECTED] [EMAIL PROTECTED] To: frnog@frnog.org frnog@frnog.org Sent: Thu Oct 04 16:21:22 2007 Subject: RE: [FRnOG] Firewall Linux contre Juniper Oups, Il doit y avoir confusion l'ISG2000 supporte 4G pour du trafic mixte ou 2 G de trafic uniquement constitué de petits paquets (64octets) avec un temps de latence moyen de 45 microsecondes. Il supporte effectivement BGP (limité à 2 routes) OSPF RIP du VRF, et du multicast IP (PIM seulement). http://www.itslabs.com/tests/its04002.jhtml Damien De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN Envoyé : jeudi 4 octobre 2007 15:48 À : [EMAIL PROTECTED] Cc : frnog@frnog.org Objet : Re: [FRnOG] Firewall Linux contre Juniper Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] [EMAIL PROTECTED] To: John Fistack [EMAIL PROTECTED] Cc: frnog@frnog.org frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack [EMAIL PROTECTED] a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour
Re: [FRnOG] Firewall Linux contre Juniper
Le 04/10/07, Grégoire VILLAIN [EMAIL PROTECTED] a écrit : Je confirme, erreur de ma part. Au temps pour moi :) Par contre, je vois pas avec quoi j'ai confondu... Greg Avec Crossbeam sans doute. Sidney
Re: [FRnOG] Firewall Linux contre Juniper
Damien Bobillot wrote: Le 2 oct. 07 à 01:08, MADdanny a écrit : Je vais peut-être (certainement) dire une connerie, mais est ce qu'il serait possible d'utiliser un GPU de malade (au pif, une 8800 Ultra) pour ce genre de traitement ? :) Comme ils ont déjà sorti une version dédiée au calcul, peut être qu'en lui greffant quelque ports gigabit (ou plus) on pourrait en faire un firewall matériel, non ? Pour faire des firewalls matériels, je pense qu'il faut plutôt voir du côté des ASIC (puces dédiées à un traitement applicatif donné), voir des FPGA (circuits programmables permettant de créer la puce que l'on veut). il existe déja ca chez AMD. c'est la technologie Torrenza, qui permet, sur une carte mere a plusieurs socket, d'avoir un (ou plusieurs) processeur amd et un autre ou plusieurs autres trucs a base de fpga dans les autres sockets http://en.wikipedia.org/wiki/Torrenza dans les fabriquants d'add-ons il existe: http://www.drccomputer.com/ http://www.xtremedatainc.com/ il doit bien etre possible de programmer des systemes d'acceleration dans ces trucs la ;D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On mar, 2007-10-02 at 22:33 +0200, Damien Bobillot wrote: FT s'intéresse à l'analyse temps réelle de trafic via des FPGA pour contrer les DDoS (j'ai vu une offre de stage sur ce sujet), mais je ne sais pas trop ce que cela a donné. Ils s'intéressaient (en partenariat avec Télécom Paris, Télécom Bretagne et l'INT) à un firewall haute vitesse relativement innovant. Ils avaient une version qui fonctionnait en soft (sur du Linux) et une version en hard (je me souviens plus si c'était du FPGA mais c'est possible). La version soft était codée en C++, j'ai bossé dessus en 2005 pour améliorer les performances (le trouc était basé sur la libpcap, y'avait beaucoup de recopies de trames et de temps perdu). On a utilisé la libipqueue (traitement netfilter en userspace) pour améliorer ça, mais on a pas vraiment eu le temps de faire de gros tests. Le projet en lui même date d'avant (cf http://www.get-telecom.fr/archive/34/CI04_Res_DDOS.pdf et https://bscw.enst-bretagne.fr/pub/bscw.cgi/3022800 ), et c'est le principe qui devait mener à de hautes performances (en gros, ne pas parcourir une liste de règles à chaque paquet mais plutôt parcourir une matrice en fonction des paramètres du paquet (ips, ports etc.) et arriver à un résultat OK/NOK). Le tout était encore expérimental à l'époque, je sais pas où ça en est maintenant. Cdt, -- Yves-Alexis Perez --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin [EMAIL PROTECTED] a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) /Xavier
Re: [FRnOG] Firewall Linux contre Juniper
On Tue, Oct 02, 2007 at 12:22:19AM +0200, Sylvain Rochet said: Bonjour, On Tue, Oct 02, 2007 at 12:05:55AM +0200, Romain Tournier wrote: je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... C'est faux, les interruptions sont balances sur les CPUs si le matos le supporte, et meme qu'on peut choisir sur quels CPUs on balance les interruptions ! cf /proc/irc/$n/smp_affinity . Par defaut, seul le CPU 0 recoit les interruptions. D'un autre cote meme si ni FreeBSD ni Linux n'a de support natif de TOE, il existe des produits avec les drivers que ce soit pour du GE ou du 10 GE. http://www.chelsio.com/products/pdf/HotInterconnect_2005.pdf JC -- la sagesse, c'est d'avoir des rêves suffisament grands pour ne pas les perdre de vue lorsqu'on les poursuit Oscar Wilde --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 01 octobre 2007 à 19:47, John Fistack a écrit: - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? Oui, ca tiendrait bien plus que 2 Gb/s, et ca fait des économies pour les machines qui rendent vraiment le service. Si j'avais vraiment un firewall en coupure à mettre, je désactiverais le NAT et le connection tracking, qui sont gourmands en CPU et risquent de s'écrouler en cas de présence de paquets fragmentés et surtout du nombre de connexions. Sinon, pour l'histoire des bicore, il me semble que la table de nat et la table de connexion tracking sont unique dans l'os. Si on a 4 cpu, ils vont se battre pour accèder à la même ressource, et à mon avis, on risque de ne pas gagner énormément. -- Xavier Nicollet http://nicollet.jeru.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On Mon, 2007-10-01 at 20:52 +0200, Xavier Beaudouin wrote: Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Avec un core a 2GHz qui prends des frame ethernet minimales (64 octets) a 2Gbps ca fait 512 cycles cpu par frame soit 256 nanosecondes (en supposant que le bus carte reseau vers memoire tienne le débit). Bref, vraiment très chaud dans le pire des cas s'il faut aller se promener dans des tables en memoire principale pour savoir ce qu'il faut faire de la frame et le faire. La latence typique pour un acces memoire principale est de 60 a 120 nanosecondes suivant le processeur et l'architecture. En faisant du prefetch et en traitant plusieurs frames en même temps c'est sans doute a l'extreme limite de ce qu'on peut faire en codant tout a la main, bref il est peu probable qu'un noyau de systeme d'exploitation generaliste arrive a le faire. Mais apres toutes les frames ne font pas 64 octets :). Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 1 oct. 07 à 21:58, Yann Hirou a écrit : Xavier Beaudouin wrote: Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Pour information les SSG-550 sont donnés pour 1Gb/s max de trafic filtré, ils ne tiennent pas (dixit Juniper) 2Gb/s. En comparaison les SSG-520 sont donnés pour 600Mb/s max de trafic filtré. Sans vouloir etre cocorico pourquoi ne pas promouvoir des produits francais genre Netasq ? -- Olivier Warin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On Mon, Oct 01, 2007 at 09:48:20PM +0200, Olivier Warin wrote: Le 1 oct. 07 à 20:52, Xavier Beaudouin a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble C'est n'est pas forcement le cas, sous Linux tu as des infos sur le temps passe en sys / iowait etc ... Donc normalement si le systeme etait charge l'idle devrait descendre, neanmoins cette machine est veloce et devrait aisement supporter un rate te permettant d'atteindre 2 Gbps. je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de PC pour des fins d'applicatif réseau sur les pc moderne Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions pratiques, par exmple pfsense... :) Il y a des soucis de perf avec pf sous FreeBSD donc je ne recommanderai pas cette solution en prod. pourquoi ne pas utiliser pf sur son os natif ? Enfin quoiqu'il en soit, il serait judicieux de valider ton systeme avant tout choix. Tu as des options opensource (netperf, iperf) ou commerciales (Spirent Avalanche). Bien cordialement, -- Olivier Warin -- Romain --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Bonjour, On Tue, Oct 02, 2007 at 12:05:55AM +0200, Romain Tournier wrote: je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... C'est faux, les interruptions sont balances sur les CPUs si le matos le supporte, et meme qu'on peut choisir sur quels CPUs on balance les interruptions ! cf /proc/irc/$n/smp_affinity . Par defaut, seul le CPU 0 recoit les interruptions. ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de PC pour des fins d'applicatif réseau sur les pc moderne Le bus non, la ram non plus, le CPU oui (en tout cas largement avant le bus et la ram, on parle bien sur de router quelques GB, pas des 10aines de GB qui necessitent du materiel prevu pour ca). Et encore je suis meme pas sur pour le CPU, avec des cartes qui le supportent il y a moyen d'utiliser le DMA engine du noyau 2.6 (a prendre avec des pincettes, j'ai pas eu l'occas' de tester). Sylvain signature.asc Description: Digital signature
Re: [FRnOG] Firewall Linux contre Juniper
Le 2 oct. 07 à 00:05, Romain Tournier a écrit : je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... Je connais mal le noyau Linux également mais sous FreeBSD, par exemple, ce n'est plus vrai depuis la branche 5. Une très grosse partie du développement depuis 5/6 ans se focalise d'ailleurs sur ce point très précis (google FreeBSD, SMPng, fine-grained locking, etc.). Un exemple qui me revient (plus forcément vrai) c'était d'avoir un thread sur un processeur dédié à servir les interruptions des interfaces réseau tandis que le reste du traitement se passait ailleurs. Par contre, il y a d'autres phénomènes (serialization ?) qui rentrent en jeu, en particulier par rapport à une pile TCP/IP, qui font que la capacité de traitement n'augmente pas linéairement avec le nombre de processeurs. Sur les mailing-lists type freebsd-net ou freebsd-performance, on lit souvent qu'au-delà de deux coeurs pour du forwarding les bénéfices sont minces. Je ne retrouve pas les raisonnements à ce sujet. Avec les moyens derrière Linux, je serai surpris que la situation soit différente. ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de PC pour des fins d'applicatif réseau sur les pc moderne D'où l'attractivité des processeurs AMD avec la technologie HyperTransport (surtout pour faire des DMA), ou encore des bus PCI Express. Si on fait le calcul, c'est intéressant à partir de 1 Gbps de trafic à travers le routeur (33 MHz * 32 bits pour PCI soit ~1 Gbps pour tout le bus). Pour prendre encore une fois l'exemple de FreeBSD, il y a un très bon article décrivant les différents goulots d'étranglement sur un PC moderne quand on veut pousser du paquet à toute vitesse : http://people.freebsd.org/~andre/Optimizing%20the%20FreeBSD%20IP%20and %20TCP%20Stack.pdf Conclusion: PCI Express c'est le pied. pourquoi ne pas utiliser pf sur son os natif ? Parce que ça ne suit pas vraiment en termes de pps et qu'on est loin de FreeBSD ou Linux en termes d'adaptation de la pile TCP/IP à du multi-processeur. Pour des chiffres, voir : http://www.tancsa.com/blast.html (potentiellement biaisé, c'est un dev FreeBSD) Et pour le fait que PF est plus lent qu'IPFW sur FreeBSD, il y a ces chiffres : http://lists.freebsd.org/pipermail/freebsd-ipfw/2007-March/ 002888.html Mais ça a plus d'un an et je n'en connais pas de plus récents. Cordialement, --eberkut Don't you know, Kompella, you got to Kompella --- Liste de diffusion du FRnOG http://www.frnog.org/
