Transparentny FW z FreeBSD

[Vilem Kebrt]

Trochu to rozvedu ( sorry píšu z telefonu). 
Většina IPS appliance používá multi match technologii. Přesně ti to neřeknu, ale co jsem koukal tak v rámci zpracování jedou jednotlivé checky paralelně (aka je to rozdělené mezi vlákna corů a aplikuje se to "současně". Pokud jediný z threadů dá block příznak, paket se zlikviduje). Takže to je spíš o těch kontrolách. Zde si dle mého názoru můžeš urychlit rozhodovací procesy skrze binary match tables (tak nějak se tomu nadává tuším, nejsem programátor). Každopádně rozhodně nebudeš třeba prohánět L2 hlavičky L3 kontrolou, ale každý thread kontroluje jemu příslušnou část. A říkám slušnější železo. Když se podíváš například na checkpoint 24800, zjistíš že zas tak extra nabuseny to není (tuším 4 jádra a 8gb ramky). Ale hodně tam dělá spolupráce serverových síťovek s CPU.

Jako další příklad si můžeš vzít hloupyho mikrotika. Výpočetně nic extra ale hloupa rb600 svýho časů uroutovala a ufirewallovala 100mbit. A to se bavím o reálným provozu, měli jsme to jako backbone router a dělalo to i základní packet filtering pro příslušnou areu sítě.  
Vilém

⁣Odesláno z Blue ​

7. 3. 2018 18:11, 18:11, Dan Lukes <dan at obluda.cz> napsal/a:
>On 7.3.2018 16:03, Vilém Kebrt wrote:
>>> vem si jen problemy, ktere vzniknou pri zpracovani fragmentovanych
>paketu
>
>> PF : scrub in on $IFACE all fragment reassemble
>>      -> tohle rule ti posklada pakety dohromady
>
>Tim ten firewall ale prestava byt transparentni, coz se mi jevilo byt 
>pozadavkem zadani.
>
>Pokud jsem to pochopi spatne, tak to reseni ma, nejen s PF, ale i s
>ipfw:
>
>>
>https://www.freebsd.org/doc/en_US.ISO8859-1/articles/filtering-bridges/article.html
>
>To bych ale za L2 transparentni firewall neoznacil.
>
>>> bude pomoci FreeBSD velmi obtizne "za lacino" napodobit "standardni
>reseni u prumyslovych dedicated IPS stroju".
>
>> virtualni ips appliance od trendmicra
>
>> pruchodnost celkem hodne slusna (tusim na full inspekci jsme meli v
>labu asi 4,5Gbitu).
>
>A jak slozity jste tam meli pravidla ? To IMHO ovlivnuje pruchodnost
>dost.
>
>Sveho casu jsem na FreeBSD v roli "klasicky" router+firewall 
>vypozoroval, ze pruchodnost celkem hodne zalezi na tom kolika pravidly 
>pakety. Skoncili jsme firewallem *hodne* minimalistickym. Mel 25 ruli,
>a 
>byl peclive optimalizovan tak, aby bylo 90% paketu "vyreseno" do sedme 
>rule. Pruchodnost byla, tusim, neco pod 5Gbps.
>
>Jakmile se firewall zacal komplikovat, slo to dolu.
>
>> 1Gbit bych si u toho na slusnym zeleze dokazal predstavit.
>
>1Gbps je pro me tak zhruba predel mezi "tak nejak normalnim" a
>"rychlym" 
>uplinkem. Jo, gigabit z toho na rozumnym zeleze asi vymacknes - zejmena
>
>pokud jsem spatne pochopil tu "transparentnost" a staci ti 
>semi-transparentnost (a pouzijes PF nebo IPFW - a nebudes mit pravidel
>moc).
>
>Jinak ale - to "sluzny zelezo" je dost klicova poznamka. U konfigurace 
>"prosty router bez firewallu" byl pri stejnem pruchozim toku pozorovan 
>rozdil v zatizeni procesoru 1:8 dany tim, jestli se pouzivala kvalitni 
>serverova Intelka nebo on-boardovy Realtec ...
>
>Dan
>
>
>
>
>-- 
>FreeBSD mailing list (users-l at freebsd.cz)
>http://www.freebsd.cz/listserv/listinfo/users-l