Hallo Ruben! On Wed Sep 29 15:09:44 1999 CEST Ruben Schattevoy wrote:

Stefan Giessler wrote:

...

Ich hatte bis vor kurzem 'ne Linux Firewall auf 'nem alten 486'er mit 64MB laufen, für ca. 300-400 User. Na ja, 100MBit über die Firewall bis zum Proxy...dann mit 2MBit ins INTERNET. Keine Probleme, der Durchsatz zwischen Netz und Proxy war OK. BTW, wo hast Du denn die Möglichkeit mit 100MBit ins Netz zu gehen?

Ich arbeite im Rechenzentrum des unten stehenden Instituts. Das Institut ist mit 100MBit/s ans Münchner Hochschulnetz angeschlossen. Und hast Du da auch richtig mit Packetfilter und so ge- arbeitet? Wir hatten diese Tage z.B. einen SPAM Angriff auf einen nicht vom Rechenzentrum admini- strierten Mail-Server. Dem hätten wir mit einer Firewall gerne selektiv und temporär den Saft abgedreht sprich die Verbindung zum Internet gekappt. Aber wir können es uns nicht leisten gleich die ganz Internetanbindung des Instituts auszubremsen.

Ich denke mal (leider noch kein 100Mbit-Netzwerk zur Hand gehabt), das die Geschwindigkeit nicht unter ein paar Firewall-Regeln leiden wird. Das Firewall-Howto meint dazu: --8<-- Filtering firewalls don't require fancy hardware. They are little more then simple routers. All you need is: 1.a 486-DX66 with 16 meg of memory 2.a 200m hard disk (500 recommended) 3.network connections (LAN Cards, Serial Ports, Wireless?) 4.monitor and keyboard With some systems by using a serial port console, you can even eliminate the monitor and keyboard. If you need a proxy server that will handle lots of traffic, you should get the largest system you can afford. This is because for every user that connects to the system it will be creating another process. If you will have 50 or more concurrent users I'm guessing you will need: 1.a Pentium II with 64meg of memory 2.a two gig hard disk to store all the logs 3.two network connections 4.monitor and keyboard The network connections can be any type (NIC cards, ISDN, even modems). -->8-- Für eine reine Firewall braucht man also wohl nicht so riesen Systeme, wenn du aber einen Proxy haben willst, dann wird das ganze doch ein wenig aufwendiger. Probier doch einfach auch, wie sich ein paar Firewall-Regeln auf die Performance des Netzwerks auswirken. Kannst du ja immer noch rausnehmen. Tschau, Eike -- \\|// LINUX wird nie zum meistinstallierten System - so (@ @) oft wie man Win95 neu installieren darf! ----oOO---(_)--OOo----- <eike.bernhardt@gmx.de> http://privat.schlund.de/eike-bernhardt/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

On Mit, 29 Sep 1999, Ruben Schattevoy wrote:

Stefan Giessler wrote:

...

Ich hatte bis vor kurzem 'ne Linux Firewall auf 'nem alten 486'er mit 64MB laufen, für ca. 300-400 User. Na ja, 100MBit über die Firewall bis zum Proxy...dann mit 2MBit ins INTERNET. Keine Probleme, der Durchsatz zwischen Netz und Proxy war OK. BTW, wo hast Du denn die Möglichkeit mit 100MBit ins Netz zu gehen?

Ich arbeite im Rechenzentrum des unten stehenden Instituts. Das Institut ist mit 100MBit/s ans Münchner Hochschulnetz angeschlossen. Und hast Du da auch richtig mit Packetfilter und so ge- arbeitet?

Ja, relativ umfangreiche Regelsatz mit ipfwadm, eigener Proxy zwischen Cisco und Firewall, eigener Mailserver zwischen Cisco und Firewall (als best MX), SMTP-Relay mit smap auf dem Firewall, Mailserver auf 'nem internen Rechner... Um dem Firewall noch etwas Arbeit zu machen lief das ganze mit Masquerading und 'nem Software RAID 1. Inzwischen läuft auf der Maschine zusätzlich noch LVM :-) An dem Regelsatz haben wir länger gefeilt, um mit möglichst wenig Regeln auszukommen (Pakete nach möglichst wenig Regeln ablehnen). Input: welche Netze dürfen in welche Netze connecten, policy deny Forward: welche Dienste sind akzeptiert, masquerade, policy deny Outgoing: welche Rechner dürfen nicht raus, policy accept Insbesondere im Forward Teil hatten wir zusätzlich recht viele Ausnahmen (z.B. Chef darf ohne Proxy ins Internet). Das Netz war mit Zwangsproxy konfiguriert, aber wir haben auch mal mit transparent proxy herumgespielt. Dazu kamen noch ein paar redirector's (Firewall piercing) mit Challenge Response Authentifizierung, sowie IPIP-Tunneling.

Wir hatten diese Tage z.B. einen SPAM Angriff auf einen nicht vom Rechenzentrum admini- strierten Mail-Server. Dem hätten wir mit einer Firewall gerne selektiv und temporär den Saft abgedreht sprich die Verbindung zum Internet gekappt.

ipfwadm -I -p accept ipfwadm -O -p accept ipfwadm -F -p accept ipfwadm -I -P tcp -S 0/0 -D <mailserver> 25 -a deny ...ist letztlich eine Regel, die den mailserver temporär vom Netz nimmt (er selbst kann noch ins Netz, alle Dienste ausser SMTP sind von draussen erreichbar).

Aber wir können es uns nicht leisten gleich die ganz Internetanbindung des Instituts auszubremsen.

...wieso ausbremsen? OK, ein Paketfilter ist immer etwas langsamer als ein Router, das liegt aber halt auch daran, dass die Pakete evtl. modifiziert werden, bevor er sie verschickt. Ausserdem sollte ein Firewall/Paketfilter mit CONFIG_TCP_ALWAYS_DEFRAGMENT konfiguriert sein (Pakete erst komplett defragmentieren und dann bewerten), da sonst sehr interessante Angriffe (z.B. aushebeln von ipchains durch ändern der Portnummer) möglich sind... Hierfür braucht's natürlich etwas Speicher. Da der Firewall große Pakete (bis 64k) erst defragmentiert, dann bewertet und dann bei Ethernet wieder bröckchenweise verschickt (bei Ethernet meist 1500Byte) sinkt der Datendurchsatz natürlich etwas; das gilt aber auch für 'ne Hardwarelösung. Optionen wie CONFIG_NET_FASTROUTE funktionieren nicht mit 'nem Paketfilter, dasselbe passiert aber auch bei einer Hardwarelösung. CONFIG_NET_FASTROUTE sorgt dafür, dass Daten direkt zwischen den Karten ausgetauscht werden...im Prinzip unter Umgehung des IP Codes. Ein Paketfilter muss Teile des IP-Headers und Teile des TCP-Headers auswerten, um eine Entscheidung zu treffen. Ich habe auf unserem Paketfilter nur während einiger DOS Attacken eine etwas stärkere Überlast bemerkt...allerdings ging die Büchse wie schon gesagt nur mit 100MBit bis zum Proxy, die Verbindung ins INTERNET war ja nur 2MBit und damit der Flaschenhals, der die Firewall vor DOS Attacken ein wenig schützt :-) Fazit: einen "lag" erzeugt ein Paketfilter immer, wie groß der lag ist hängt davon ab, wie oft Pakete zu defragmentieren und wieder zu fragmentieren sind, und davon wieviele Regeln die Firewall hat bzw. wieviele Regeln ein Paket im Mittel durchläuft bis es akzeptiert wird... Bei ungeschickter Anordnung der Regeln kann das einiges an Zeit kosten. CU, Stefan -- Stefan Giessler e-mail: stefan.Giessler@net-share.de Now is a good time to put your work on a firm theoretical foundation. -- Sam Morgan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com