Ich will einen reinen Firewall-Rechner unter Suse 8.1 aufsetzen. Eckdaten: Celeron 466, 64MB RAM, 10MBit-Netzwerkkarte, Fritzcard-PCI (ISDN) Der Server ist etwas schneller, nämlich Celeron 1000 mit 192MB RAM, 10MBit-Netzwerkkarte zur Firewall, 100MBit-Netzwerkkarte zu den Clients (Celeron 1300, 512MB RAM). Könnten mehr als 64MB-RAM das Gesamtsystem beim Surfen / Download schneller machen? Albert
Am Sonntag, 6. Oktober 2002 11:23 schrieb Al Bogner:
Ich will einen reinen Firewall-Rechner unter Suse 8.1 aufsetzen.
Eckdaten: Celeron 466, 64MB RAM, 10MBit-Netzwerkkarte, Fritzcard-PCI (ISDN)
Der Server ist etwas schneller, nämlich Celeron 1000 mit 192MB RAM, 10MBit-Netzwerkkarte zur Firewall, 100MBit-Netzwerkkarte zu den Clients (Celeron 1300, 512MB RAM).
Könnten mehr als 64MB-RAM das Gesamtsystem beim Surfen / Download schneller machen?
Albert
Hallo, die Maschine reicht vollkommen. Bei mir läuft ein P1 mit 133 MHz und 16 MB RAM unter der 8.0 als DSL-Router/Firewall. Gruß! Markus.
On 06-Oct-02 Al Bogner wrote:
Ich will einen reinen Firewall-Rechner unter Suse 8.1 aufsetzen.
Eckdaten: Celeron 466, 64MB RAM, 10MBit-Netzwerkkarte, Fritzcard-PCI (ISDN)
Der Server ist etwas schneller, nämlich Celeron 1000 mit 192MB RAM, 10MBit-Netzwerkkarte zur Firewall, 100MBit-Netzwerkkarte zu den Clients (Celeron 1300, 512MB RAM).
Könnten mehr als 64MB-RAM das Gesamtsystem beim Surfen / Download schneller machen?
Kommt drauf an, was der "Firewall-Rechner" so alles tun soll. Für einen einfachen Paketfilter mit ISDN-Dialout, IP-Masquerading und Routing reicht der Celeron mit 64 MB völlig aus. Auch nen Mailproxy (ich nehm dafür meist fetchmail,postfix, popper und einen crontab-Eintrag) kriegt man damit normalerweise hin, ebenso nen DNS-Cache (der durch entsprechende Firewall-Regeln dann zum Proxy wird). Für einfache SSH-Tunnels oder ähnliche Scherze sollte es auch reichen. Schwierig wirds, wenn Application Level Gateways zum Einsatz kommen sollen - ein squid z.B. wird mit 64 MB nur eine begrenzte Cachegröße sinnvoll verwalten, denn er ist abhängig von der Anzahl der Objekte im Cache mehr oder weniger ein Speicherfresser. Das muß man ausprobieren und sich ggf. die Option auf Mehr RAM offenhalten. Ebenso wenn man das Ding zusätzlich noch als internen Mail- oder Webserver vergewaltigt (was man eigentlich bei einer Firewall lassen sollte, auch die o.g. Gateways, Maildienste etc. laufen natürlich sicherer auf nem internen Rechner und via Portforwarding bedient) oder wenn man da sonstige Funktionalitäten/Auswertungen/Loggin/wasweißichnochalles draufpackt. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
On Sonntag, 6. Oktober 2002 13:29 Erhard Schwenk wrote:
Schwierig wirds, wenn Application Level Gateways zum Einsatz kommen sollen - ein squid z.B. wird mit 64 MB nur eine begrenzte Cachegröße sinnvoll verwalten, denn er ist abhängig von der Anzahl der Objekte im Cache mehr oder weniger ein Speicherfresser. Das muß man ausprobieren und sich ggf. die Option auf Mehr RAM offenhalten.
Der Firewall-Rechner hat nur eine 800MB HD. Squid und leafnode laufen auf dem "Hauptserver", ebenso ein Apache für internen Gebrauch. Dort hat die var-Partition 2 GB. Liege ich vom Konzept mit folgendem eigentlich richtig: Von außen soll auf den FW-Rechner nur ein Zugriff per ssh zugelassen werden, alle anderen Dienste werden mit der Suse Firewall2 am Firewall-Rechner geblockt. Bei Hauptserver und Clients ist die FW nicht aktiv. Der Client, der via Switch zum Hauptserver verbunden ist, hat als Gateway die IP-Adresse des Hauptservers. Am Hauptserver befindet sich squid, für http und ftp. Die externen Mailserver (pop3, smtp) des Providers werden per IP-Masquerading angesprochen. Am Hauptserver gibt es 2 Netzwerkkarten. Die 100Mbit-Karte ist mit dem Switch verbunden und die 10Mbit-Karte ist per gekreuztem Kabel mit dem Firewall-Rechner verbunden. Bei der 100MBit-Karte des Hauptservers, die mit dem Switch verbunden ist, trage ich als Gateway die IP der 10-Mbit-Karte am selben Rechner ein. Bei dieser 10-Mbit-Karte trage ich als Gateway die IP des Firewall-Rechners ein. Somit kann man von außen nur in das System, wenn man sich am Firewall-Rechner per ssh einwählt und von dort eine ssh-Verbindung zum Hauptserver aufbaut und danach eine ssh-Verbindung zum Client. Oder hat das Konzept einen Denkfehler? Albert
Am Sonntag, 6. Oktober 2002 11:23 schrieb Al Bogner:
Eckdaten: Celeron 466, 64MB RAM, 10MBit-Netzwerkkarte, Fritzcard-PCI (ISDN)
Der Server ist etwas schneller, nämlich Celeron 1000 mit 192MB RAM, 10MBit-Netzwerkkarte zur Firewall, 100MBit-Netzwerkkarte zu den Clients (Celeron 1300, 512MB RAM).
Könnten mehr als 64MB-RAM das Gesamtsystem beim Surfen / Download schneller machen?
Für ne einfache Paketfiltering-Firewall mit ISDN-Anschluß? Nö. Dafür (und auch bei nem DSL-Anschluß) sollte ein 486er mit 16 MByte RAM locker ausreichen. Die Frage ist eher, wie das Firewall-Script aufgebaut wird. Das Konzept bei jedem Verbindungsaufbau die Regeln neu zu setzen, wie es die SuSEFirewall z.B. verwendet, wird den Verbindungsaufbau unangenehm in die Länge ziehen. Da wäre ne Alternative vorteilhaft. Mein Script z.B. erledigt alles beim booten (zu finden auf meiner Homepage), kann allerdings dadurch auch die individuell zugewiesene IP nicht einbinden, bei einem Dialin-Rechner, der nicht permanent online ist sollte das verschmerzbar sein. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
participants (4)
-
Al Bogner -
Erhard Schwenk -
Manfred Tremmel -
Markus Nohn