reale Datendurchsatz durch eine Firewall
Hallo Gemeinde ! Kennt jemand ungefähr eine Größenordnung für den realen Datendurchsatz (in MBit), die eine SuSE-Linux-Firewall von einem Netz in ein zweites Netz übertragen kann. Basiskonfiguration: Der Rechner ist ein 500 MHz Pentium III mit 128 MB und SuSE V 7.0 mit zwei Netzwerkkarten (3COM 3C509CTXM 10/100 MBit, eine WAN und eine LAN). Es sollten sowohl eine Firewall für das externe Netz (WAN) als auch auf der Seite des internen Netz mit jeweil etwa 200 Regeln (ipchains) integriert werden. SuSE ist als minimales System nur mit SMTP- Mailserver installiert. Mit welchen Werten vom Datendurchsatz kann man ungefähr für den Datenaustausch zwischen den beiden Netzen rechnen. lg Harald
Hallo,
"DI H. Arnold"
Hallo Gemeinde !
Kennt jemand ungefähr eine Größenordnung für den realen Datendurchsatz (in MBit), die eine SuSE-Linux-Firewall von einem Netz in ein zweites Netz übertragen kann.
Basiskonfiguration: Der Rechner ist ein 500 MHz Pentium III mit 128 MB und SuSE V 7.0 mit zwei Netzwerkkarten (3COM 3C509CTXM 10/100 MBit, eine WAN und eine LAN). Es sollten sowohl eine Firewall für das externe Netz (WAN) als auch auf der Seite des internen Netz mit jeweil etwa 200 Regeln (ipchains) integriert werden.
Bei ca. 200 Filterregeln hast du schon einen Leistungsverlust von ca. 10 %, dies vorweg. Der Kernel kann ca. 16.000 Datagrams/sec max. generieren, iptables kommt auf etwa 8.000 Datagrams/sec Durchsatz. Da die Pakete eine durchschnittliche Groesse von 500 - < 1500 byte haben, ist der theoretische max. Durchsatz bei ca. 12 MByte/sec. Deshalb muss man in Hochgeschwindigkeitsnetzen skalierbare Paketfilter einsetzen, deshalb auch der Schritt von ipchains zu iptables. -Dieter -- Dieter Kluenter | Systemberatung BFI Rendering und Image Processing Tel: 040.64861967 | Fax: 040.64891521
participants (2)
-
DI H. Arnold
-
Dieter Kluenter