Transparant/bridging firewall

smooc schreef op dinsdag 22 februari 2005 @ 21:11:
Wat dacht je van OpenBSD?

http://www.openbsd.org

Meest secure OS, met beste packet filter (pf)

hmm,als het een softwareoplossing mag zijn: www.m0n0.ch/wall/

Geweldig pakket, uitgebreide routing / firewall opties, uitgebreide VPN opties en FreeBSD gebaseerd. Een beetje systeem met fatsoenlijke netwerkkaarten haalt een hele behoorlijke troughput hiermee. Ik haal met mijn pentium 133 @ 120 (60mhz bus zelfs) al een 67mbit over twee interfaces heen (niet gefirewalled). Dus als je daar een redelijk zware bak achter zet, dan kan je hele behoorlijke prestaties verwachten Het draait vanaf een readonly iets zelfs met een floppy om de xml config weg te schrijven, dus de kans dat zoiets crashed is nihiel.

Dit pakket is een juweel m.i.

[ Voor 11% gewijzigd door Verwijderd op 22-02-2005 21:18 ]

Wat denk je dat een cisco PIX is?

Celeron / PII bordje intel etherexpress + flash

het dure eraan is de flash.

Coole is dat ie ook na te bouwen is inclusief het os (op google staat wel ergens een linkje)

smooc schreef op dinsdag 22 februari 2005 @ 21:23:
Wat denk je dat een cisco PIX is?

Celeron / PII bordje intel etherexpress + flash

het dure eraan is de flash.

Coole is dat ie ook na te bouwen is inclusief het os (op google staat wel ergens een linkje)

Het dure eraan is het IOS en de support eerder, die paar MB aan flash doen het hem niet hoor.

Hell ik kan m0n0wall zelfs vanaf CF draaien

Ik heb een keer mogen stoeien met netscreens. Was goed te doen, eenvoudige webinterface.
De netscreen 5gt kost geloof ik ook niet zoveel. Kan hem je zeker aan bevelen.

Netscreen 5gt s gaan binnenkort EoL dus daar zou ik wat voorzichtig mee zijn...
Ook de support is niet meer wat het geweest is sinds de overname door Juniper, maar nog wel acceptabel.

Anders dan dat: Ik geef de voorkeur aan een netscreen over een sonicwall anytime.

Die netscreens zijn erg mooie apparaten die alles kunnen wat deze meneer wil, maar je hebt ze bij lange na niet voor 200~300 euri.

Als je 10 a 20 servers hebt heb je al een redelijke groep systemen die je moet beveiligen, ik weet niet hoe bedrijfsgevoelig deze systemen en data zijn, maar ik neem aan dat er veel verbindingen opgezet gaan worden. Probeer echt naar iets veiligers te kijken dan een zelf in elkaar geknutselde linuxbak of een sonicwall.

Kies voor een van de volgende producten:
- Checkpoint FW-1
- Juniper Netscreen
- Cisco PIX

dit zijn producten die zichzelf al jaren bewezen hebben in de firewall wereld.

PS. Een firewall alleen is niet genoeg voor veiligheid, zorg ook voor een NIDS. JE kan wel gehackt worden, maar als je het niet ziet, kun je er niets tegen doen. NIDS = aanrader dus!

edit: zorg dat je het concept 'security' goed snapt voordat je die dingen gaat configureren. Beveiliging is meer dan een firewalletje installeren. Je moet weten wat voor verkeer er op je lan thuis hoort, maar vooral ook wat NIET!

IEFtm schreef op dinsdag 22 februari 2005 @ 21:05:
Ook heb ik geen enkele ervaring met de webinterfaces van dit soort producten, dit vind ik ook wel erg belangrijk dat dit gebruiksvriendelijk is.

Maak eerst goede documentatie van je netwerkverkeer voordat je er een firewall tussen hangt.
Een vals gevoel van veiligheid is onveiliger dan een openstaand netwerk.

[ Voor 30% gewijzigd door JackBol op 22-02-2005 23:36 ]

ik zou voor de ns5gt gaan. Gebruiken wij ook hier icm DPI en AV. Werkt als een trein!

Zal kijken of ik een screenshot kan maken ..

Sonic wall heb ik heel goede ervaringen mee en werkt ook goed als router/bridger. Ik heb gewerkt met een Sonic Wall 230. Duidelijke interface/wallrules. Webinterface dus gemakkelijk te configureren. Erg uitgebreid pakket verder.

[ Voor 32% gewijzigd door wallywally op 23-02-2005 09:08 ]

Je zegt datje alleen hardware oplossing wil? Sorry maar cut the ** please. *Alle* firewalls zijn software. Ik neem aan dat je bij hardware oplossing zit te kijken naar de kwaliteit van de hardware?

Ik draai verschillende firewalls met failover op OpenBSD met compact flash, zoals ik zei het veiligste OS wat er is: veiliger dan IOS, wat de laatste tijd wat security probleempje heeft gehad.

je firewall rules zal je toch zelf moeten opstellen dat geldt voor elk systeem.

Ga je inderdaad voor de ondersteuning, dan ben je zoiezo meer kwijt dan die 200-300 euro.

voor de lol kijken eens op http://www.soekris.com

Ik wer zelf met een Watchgaurd SOHO en vind dit perfect werken.
Zeer overzichtelijke web interface en goed te schalen.
http://www.watchgaurd.com/

Ik zou daar eens kijken wat je er van vind.

Dirk-Jan schreef op dinsdag 22 februari 2005 @ 23:32:
PS. Een firewall alleen is niet genoeg voor veiligheid, zorg ook voor een NIDS. JE kan wel gehackt worden, maar als je het niet ziet, kun je er niets tegen doen. NIDS = aanrader dus!

Een IDS is leuk, maar dat staat of valt met het doornemen van de output hiervan. Daarnaast is het nogal beheer gevoelig; je IDS moet up to date blijven, en ook in staat zijn het kaf van het koren te scheiden. Steek die moeite liever in een goed beveiligings concept.

Daarnaast vereist een goede IDS een bepaalde capaciteiten van de onderliggende infrastructuur. Da's op zich niet zo heel spannend, maar als je op een beperkt budget bezig bent, wordt dat lastiger.

IEFtm schreef op woensdag 23 februari 2005 @ 17:59:
[...]


ja zover was ik zelf natuurlijk ook al. uiteraard draait ook op elke "hardware" firewall een stuk firmware/software in de flash. ik bedoelde dat ik geen "home-made" firewall met standaard pc (intel) hardware hoef. dat geeft toch niet bepaald hetzelfde gevoel als bij een out-of-the-box solution.

ik snap zelf ook wel dat ik zelf firewall rules moet opstellen voor het systeem, alleen doe ik het dan liever via een webconfig dan via een command-line van een standaard bsd/linux systeem.

graag wil ik dan ook reacties van mensen die ervaringen hebben met out-of-the-box solutions zoals
Sonicwall , Netscreen , ZyWall , Cisco PIX etc., ervaringen om een BSD/linux systeem op te zetten met bijv. CF heb ik genoeg voor home use heb ik dan ook een linux bridgewall draaien op CF

Sorry, maar kijk dan toch echt een een uurtje naar m0n0wall. Voelt zeer stabiel en professioneel aan m.i. Ga er eens een uurtje mee prutsen, thats all

Misschien een ander *leuk* hardware alternatief; een Cisco 1841 of 28xx-series IDS router. Deze bakken zijn veel en veel sneller als hun voorgangertjes (De 16xx en 17xx, etc) en zouden het werk goed moeten kunnen doen.

Voordeel is ook dat je ze zeer vulzijdig in kan zetten en opzich, voor een degelijke bridging firewall, niet duur. Er zitten overigens standaard al een FastEthernet poorten op.

Zoet

smooc schreef op woensdag 23 februari 2005 @ 10:35:
Je zegt datje alleen hardware oplossing wil? Sorry maar cut the ** please. *Alle* firewalls zijn software. Ik neem aan dat je bij hardware oplossing zit te kijken naar de kwaliteit van de hardware?

de netscreens vanaf de 500 handelen de rulebase anders wel in dedicated asics af. lijkt mijn toch redelijk hardware.

Maar het is al eerder gezegd, koop een lowend netscreentje 5GT (als je een DMZ wilt moet je de extended nemen). Via de webinterface kun je een management ip aangeven en zeggen welke services je wilt draaien (telnet, webUI etc). Interfaces in een zone knikkeren en policies aanmaken (= de rulebase). Dat is 5 minuten klikken of minder dan 20 regels met de console.

ik zou zeggen, gaan met die banaan!

EDIT: weet je trouwens zeker dat je een transparent firewall wilt? routing mode kost je maar 2 ip adresjes en je bent een factor 100x veiliger.

(je bent wel 1200 euri kwijt, maar het is wel verdomd stabiel, schaalbaar en robuust)

[ Voor 8% gewijzigd door JackBol op 24-02-2005 01:13 ]

Dirk-Jan schreef op dinsdag 22 februari 2005 @ 23:32:
Probeer echt naar iets veiligers te kijken dan een zelf in elkaar geknutselde linuxbak of een sonicwall.

Niets is veilig als de config zelf 'in elkaar geknutseld is'.

Voor de rest is je uitspraak een totale onzinuitspraak. Ook een linux firewall heel erg secure te krijgen.

dit zijn producten die zichzelf al jaren bewezen hebben in de firewall wereld.

Net zoals linux-based firewalls.

Een vals gevoel van veiligheid is onveiliger dan een openstaand netwerk.

[/quote]

Weer zo'n onzinuitspraak. Een vals gevoel van veiligheid is hetzelfde als een openstaand netwerk.

Maar goed, ik begrijp dat TS niet op zoek is naar een software-firewall.. en cisco producten kennelijk te duur vind. Toch zou ik 'm aanraden eens naar een Pix 501 te kijken. Die zijn helemaal niet zo duur (rond de EUR 700, inc. het recht om 'm met 50 man te delen), en zijn prima om mee te beginnen.

Voor de rest zit er natuurlijk wel een kern van waarheid in je betoog, security gaat wel verder dan een firewall.

EDIT: weet je trouwens zeker dat je een transparent firewall wilt? routing mode kost je maar 2 ip adresjes en je bent een factor 100x veiliger.

Die mag je even uitleggen. Waarom is het routen van verkeer veiliger, wat is volgens jou een transparent firewall (volgens mij bestaat zoiets niet eens, maar goed).

[ Voor 14% gewijzigd door Verwijderd op 24-02-2005 01:17 ]

Als ik het zo lees zou ik je "probleem" eens voorleggen aan een club als Crypsys.
Laat hun uitvogelen wat ze willen adviseren, en laat ze dat dan ook optuigen.
Dan heb je en de mogelijkheid om je support netjes te regelen, en je bent van een hoop geklooi af.
Denk ook aan aansprakelijkheid.

Ieder zijn vak, en 20 servers is even wat meer dan ff een doosje inpluggen.

My € 0.03 (inflation corrected)

aZuL2001 schreef op donderdag 24 februari 2005 @ 01:32:
Als ik het zo lees zou ik je "probleem" eens voorleggen aan een club als Crypsys.
Laat hun uitvogelen wat ze willen adviseren, en laat ze dat dan ook optuigen.
Dan heb je en de mogelijkheid om je support netjes te regelen, en je bent van een hoop geklooi af.
Denk ook aan aansprakelijkheid.

Ieder zijn vak, en 20 servers is even wat meer dan ff een doosje inpluggen.

My € 0.03 (inflation corrected)

Dat kost hoogstwaarschijnlijk ook weer meer €€€, en dat is juist wat TS wil voorkomen als ik het goed begrijp.

_{Je vergeet de wisselkoers die bijna 33% van de dollar afhaalt}

IEFtm schreef op woensdag 23 februari 2005 @ 17:59:
graag wil ik dan ook reacties van mensen die ervaringen hebben met out-of-the-box solutions zoals
Sonicwall , Netscreen , ZyWall , Cisco PIX etc., ervaringen om een BSD/linux systeem op te zetten met bijv. CF heb ik genoeg voor home use heb ik dan ook een linux bridgewall draaien op CF

Ik heb ervaring met sonicwall, zywall en linux systemen. Mijn voorkeur gaat uit naar een sonicwall. Ben niet zo'n fan van ZyWall, veel problemen mee gehad. Spontane blokkering van connectie van binnenuit zegmaar.

Verwijderd schreef op donderdag 24 februari 2005 @ 01:17:
Niets is veilig als de config zelf 'in elkaar geknutseld is'.

Voor de rest is je uitspraak een totale onzinuitspraak. Ook een linux firewall heel erg secure te krijgen.

Begrijp me niet verkeerd, ik ben echt niet anti-linux. Ik heb zelf met volle tevredenheid IPFW op mijn werkstation draaien, en ik ben daar echt over te spreken. Het verschil is echter dat als je zelf een linuxsysteem maakt, je zelf verantwoordelijk bent voor upgrades en patches van security issues. Als je een appliance koopt, zal de vendor de code moeten debuggen en bij nieuwe features of fouten hoeft je slechts een firmware update te doen. Voor iemand die de eenvoud van de webinterface een belangrijk punt vindt, lijkt mij dit ook wel van belang.

Weer zo'n onzinuitspraak. Een vals gevoel van veiligheid is hetzelfde als een openstaand netwerk.

Nee, want als je een openstaand netwerk hebt, dan weet je dat. Als je dan iets gevoeligs moet versturen dan pak je het in met Winzip met AES. Als je denkt dat je netwerk secure is, ben je eerder geneigd om het unencrypted over de lijn te gooien. Ergo, als je denkt dat je veilig bent, ben je het eigenlijk niet

Maar goed, ik begrijp dat TS niet op zoek is naar een software-firewall.. en cisco producten kennelijk te duur vind. Toch zou ik 'm aanraden eens naar een Pix 501 te kijken. Die zijn helemaal niet zo duur (rond de EUR 700, inc. het recht om 'm met 50 man te delen), en zijn prima om mee te beginnen.

Een Pix 501 is inderdaad hardwarematig een goed apparaat. Nadeel van een PIX? De webinterface vult totaal niet aan op de CLI. Als je op de CLI een regel hebt, die de WebUI niet snapt, interpreteert die maar wat en kun je maar hopen dat de regels goed staan. Daarnaast is een PIX zo stug als een plank. Poortje in een andere zone? complete interfaceconfig omgooien. Uitzonderingen maken? complete policyconfig omgooien. Ikzelf zou daarom de Netscreen 5GT-E aanraden. Betere WebUI, zonemanagement en independent policy management. (maar kost wel 500 E meer)

Die mag je even uitleggen. Waarom is het routen van verkeer veiliger, wat is volgens jou een transparent firewall (volgens mij bestaat zoiets niet eens, maar goed).

Voor een transparante firewall hoeft je je IP infrastructuur niet om te gooien. Je kan de firewall tussen de borderrouter en je switch hangen, zonder dat je IP adressen hoeft toe te kennen aan de interfaces. Als je geen rules configureert is het gewoon een bridge. De laatste regel in een transparent firewall is dan ook een permit any any. Vervolgens kan je met policies restricties opleggen. Een firewall in NAT of routing mode moet je wel IP adressen toe kennen aan de interfaces. Packets moeten dus ook een extra hop over. De laatste regel in een deny any any.

[ Voor 4% gewijzigd door JackBol op 24-02-2005 09:07 ]

Dirk-Jan schreef op donderdag 24 februari 2005 @ 09:05:
Begrijp me niet verkeerd, ik ben echt niet anti-linux. Ik heb zelf met volle tevredenheid IPFW op mijn werkstation draaien, en ik ben daar echt over te spreken. Het verschil is echter dat als je zelf een linuxsysteem maakt, je zelf verantwoordelijk bent voor upgrades en patches van security issues. Als je een appliance koopt, zal de vendor de code moeten debuggen en bij nieuwe features of fouten hoeft je slechts een firmware update te doen.

Akoord, een linux firewall maintainen is meer werk, alhoewel dat meevalt hoor. Het hangt er een beetje vanaf wat je allemaal doet. Als je bv. alleen iptables gebruikt, en geen andere meuk, zit er verdomd weinig verschil tussen het installeren van een patch of het updaten van firmware.

Nee, want als je een openstaand netwerk hebt, dan weet je dat. Als je dan iets gevoeligs moet versturen dan pak je het in met Winzip met AES.

Wat heeft het voor nut om iets in te pakken als je het gaat versturen, als je netwerk open is? Men kan er dan toch al bij voordat je het verstuurd hebt? Een open netwerk is niet veilig, of je er nu zelf van op de hoogte bent of niet, het netwerk blijft open.

Een Pix 501 is inderdaad hardwarematig een goed apparaat. Nadeel van een PIX? De webinterface vult totaal niet aan op de CLI. Als je op de CLI een regel hebt, die de WebUI niet snapt, interpreteert die maar wat en kun je maar hopen dat de regels goed staan.

Bij de 501 valt dit nog wel mee. Sowieso ben ik van mening dat je een keuze moet maken; je gebruikt de CLI of je gebruikt de webinterface, niet beiden. Dit is ook beter in procedures vast te leggen.

Daarnaast is een PIX zo stug als een plank. Poortje in een andere zone? complete interfaceconfig omgooien. Uitzonderingen maken? complete policyconfig omgooien. Ikzelf zou daarom de Netscreen 5GT-E aanraden. Betere WebUI, zonemanagement en independent policy management. (maar kost wel 500 E meer)

500E meer is in dit geval het dubbele.. dat is ook een beetje de clou.

Voor een transparante firewall hoeft je je IP infrastructuur niet om te gooien. Je kan de firewall tussen de borderrouter en je switch hangen, zonder dat je IP adressen hoeft toe te kennen aan de interfaces.

Imo heeft dit niets met een 'transparante firewall' te maken, maar eerder met hoe je je firewall implementeerd. 'transparant' impliceert namelijk dat je vanaf een werkstation in een ander geval wel iets zou merken van een firewall, en dat hoeft helemaal niet waar te zijn. Vergelijk het met proxies, een 'normale' proxy moet je instellen in je browser, anders kun je niet surfen. Een transparante proxy hoef je nergens in te stellen, die pakt het verkeer zelf al. Een gelijksoortige situatie is er in dit geval niet.

Overigens.. ook een routing-based firewall laat zich prima plaatsen zonder je ip-adressen om te hoeven gooien hoor.

Volgens mij praten we gewoon over het verschil tussen routed, natted of bridged. Transparant is een woordje wat niet in dat rijtje thuis hoort.

Verwijderd schreef op donderdag 24 februari 2005 @ 07:42:
[...]
Dat kost hoogstwaarschijnlijk ook weer meer €€€, en dat is juist wat TS wil voorkomen als ik het goed begrijp.

Wat kost het als je servers mishandeld worden door een puisterige tiener met een vaag tooltje ?
Wat kost het als je die 20 servers opnieuw moet installeren en de backup moet restoren ?

Zou een geval van verkeerde zuinigheid *kunnen* zijn.
Maar ik gaf het alleen mee ter overweging aan TS. Die vindt het blijkbaar geen belangrijk argument, en schaft dat soort materiaal liever op eBay aan blijkbaar. Zijn keuze.

Niet de mijne iig

Verwijderd schreef op donderdag 24 februari 2005 @ 11:45:
Volgens mij praten we gewoon over het verschil tussen routed, natted of bridged. Transparant is een woordje wat niet in dat rijtje thuis hoort.

netscreen gebruikt inderdaad transparent als benaming voor bridged firewalls. zelfde betekenis, ander woordje

ps. ff kijken of ik aan screenshotjes kan komen. als je wilt kun je van mij wel een paar pps'jes krijgen waar de basisfuncties van het systeem in worden uitlegd. Als je interresse hebt, laat maar weten.

Als ik ook een firewall in het zakje mag doen, kijk ook eens naar netasq, ik heb al een behoorlijk aantal deze apparaatjes draaien bij mijn klanten en dat is echt perfect spul http://www.netasq.com.

Beheer gaat via een apart programma dus niet via een de browser maar ik vind dit meer een voordeel dan een nadeel omdat het gewoon prettiger werkt.

Waar ik wel benieuwd naar ben is wat het verkeer dat je over je FW heen gaat gooien naar buiten en binnen, aangezien je 10 tot 20 servers die je wilt beveiliging en een budget van 300E vind ik toch wel aan de matige kant. Als je een goed security product wil en je wil niet zelf bezig gaan met bsd oplossingen dan is het bedrag gewoon te laag, maar dat is mijn mening

IEFtm schreef op zaterdag 26 februari 2005 @ 16:19:
ook moet er bandwidth management inzitten omdat ik dat ook centraal wil houden.

op dit moment is de beveiliging per server geregeld, softwarematig, alsook bandbreedte beheer
hier willen we dus 'quick and dirty' vanaf.

Dat doen netscreens ook (tot op zekere hoogte althans).

Dirk-Jan schreef op donderdag 24 februari 2005 @ 09:05:
Als je geen rules configureert is het gewoon een bridge. De laatste regel in een transparent firewall is dan ook een permit any any. Vervolgens kan je met policies restricties opleggen. Een firewall in NAT of routing mode moet je wel IP adressen toe kennen aan de interfaces. Packets moeten dus ook een extra hop over. De laatste regel in een deny any any.

De laatste rule staat volkomen los van de gebruikte techniek. Dat heeft meer te maken met de min of meer te verwachten rol van het apparaat.

De extra hop is geen echt issue. L3 technisch is het inderdaad geen hop, maar de latency van de hop blijf je houden; het pakket moet wel degelijk door de firewall verwerkt worden.

ijdod schreef op zaterdag 26 februari 2005 @ 16:51:
[...]


De laatste rule staat volkomen los van de gebruikte techniek. Dat heeft meer te maken met de min of meer te verwachten rol van het apparaat.

De extra hop is geen echt issue. L3 technisch is het inderdaad geen hop, maar de latency van de hop blijf je houden; het pakket moet wel degelijk door de firewall verwerkt worden.

Ik denk dat je die 0,3-0,8ms wel overleeft hoor

Verwijderd schreef op zondag 27 februari 2005 @ 14:36:
[...]


Ik denk dat je die 0,3-0,8ms wel overleeft hoor

Ging er om dat de extra hop als punt genoemt werd, niet of dit al dan niet merkbaar is.

Overigens: verkijk je er niet op. Heb meer dan eens meegemaakt dat men zeer geschokt was dat na de verhuizing van servers naar een andere site (lange dark fiber, gbit), de backup opeens tig keer zo lang duurde (van ca 800 Mbps naar ca 150 Mbps). Latency naar de taperobot was 1,6 ms meer geworden. (Hetgeen overigens te wijten was aan te kleine tcp windows. Tweaken doet wonderen. Uiteraard, als ze van te voren hun huiswerk hadden gedaan...)

ijdod schreef op maandag 28 februari 2005 @ 23:07:
zo lang duurde (van ca 800 Mbps naar ca 150 Mbps). Latency naar de taperobot was 1,6 ms meer geworden. (Hetgeen overigens te wijten was aan te kleine tcp windows. Tweaken doet wonderen. Uiteraard, als ze van te voren hun huiswerk hadden gedaan...)

Dit heeft niets met latency te maken. Al had hij een latency van een uur gehad, dan nog had de doevoer 800Mbps moeten zijn, als ie eenmaal op gang was, that is.

Die tweak was ongetwijfeld de MTU.

ijdod schreef op maandag 28 februari 2005 @ 23:07:
[...]
(lange dark fiber, gbit)

knappe vent die dark fiber voor datatransport gebruikt

Je zou ook kunnen kijken naar een netasq
http://www.netasq.com/

Die zijn kwa prijs en licenties wel mooi..
De eerste firmwares vond ik niet zo fijn.. Maar begint best goed te worden Support is ook goed.. Als je zelf frankrijk belt
Ik draai hier 2 netasq F500's ik kan van 1 van de 2 gerust een stekker eruit trekken en alles draait door.. Niemand die wat merkt.. Eerder werd ik binnen 1 minuut gewurgd

Omdat ie geen software oplossing wil? Zo'n netasq is gewoon een via epia ding met freebsd4.7
J/k
Verder wel nette firewall en leuke tools. Ik werk er vooral mee voor vpn verbindingen, maar moet zeggendat het allemaal net niet polished genoeg is. Het is geen PIX bijvoorbeeld.

Verwijderd schreef op maandag 28 februari 2005 @ 23:19:
[...]


Dit heeft niets met latency te maken. Al had hij een latency van een uur gehad, dan nog had de doevoer 800Mbps moeten zijn, als ie eenmaal op gang was, that is.

Die tweak was ongetwijfeld de MTU.

Dat heeft feitelijk alles met latency te maken. De tweak was TCP window size. De truuk is inderdaad de de verbinding bezig te houden. Op een snelle verbinding met een (relatief) hoge latency zijn de standaard tcp window sizes niet afdoende. Je zit te lang te wachten op de ACKs.

Rekenvoorbeeldje: Gbit verbinding met 2 ms latency end to end, en standaard max TCP window size van 64KB. Voor elke 0,5 ms daadwerkelijke transmissie ben je dan 2,0 ms op bevestiging aan het wachten. Maak je het window opeens, laten we zeggen, 1 MB, dan hebben we het opeens over 8,3 ms transmissie voor elke 2 ms wachten, enz enz.

MTU is een ander beestje. Een grotere MTU (giant) lost dat probleem niet op, hoewel het wel iets van de packet overhead afsnoept. Giants breken diverse standaards, zijn zelf niet gestandaardiseerd, en implementatie is (dus) proprietary. De voornaamste redenen dat men destijds met gigabit en giants aan het prutsen is geweest, is dat er netwerk kaarten waren die per frame een interrupt genereerden. Dat vindt het host platform meestal niet leuk. Moderne chipsets hebben dat probleem opgelost.

Dirk-Jan schreef op maandag 28 februari 2005 @ 23:30:
[...]
knappe vent die dark fiber voor datatransport gebruikt

Nooit van black light gehoord? Speciaal voor dark fibers

ijdod schreef op dinsdag 01 maart 2005 @ 21:53:

Nooit van black light gehoord? Speciaal voor dark fibers

en luke skywalker komt het met zijn lightsabre installeren

Bas! schreef op dinsdag 01 maart 2005 @ 13:39:
Omdat ie geen software oplossing wil? Zo'n netasq is gewoon een via epia ding met freebsd4.7
J/k
Verder wel nette firewall en leuke tools. Ik werk er vooral mee voor vpn verbindingen, maar moet zeggendat het allemaal net niet polished genoeg is. Het is geen PIX bijvoorbeeld.

Heeft ook niet de prijs en licentie prijzen van een pix
Is inderdaad freebsd based..openbsd.. Ze hebben wel de rotzooi beetje aan lopen passen..
Maar alles kan met dat ding Alleen ze mogen wel wat aan de hardware doen.. We hebben al 3 hd's versleten.. Hopenlijk gaat t nu beter met de laatste hd

ijdod schreef op dinsdag 01 maart 2005 @ 21:53:
[...]
Nooit van black light gehoord? Speciaal voor dark fibers

http://www.google.nl/sear...fmore&q=define:Dark+Fiber
http://www.webopedia.com/TERM/D/dark_fiber.html
http://searchnetworking.t...0,,sid7_gci211891,00.html
http://news.com.com/Googl.../2100-1034_3-5537392.html

_Dark_ fiber is gewoon onverlichte fiber, oftewel niet gebruikt. Een blacklight gebruiken ze trouwens in discotheken

aZuL2001 schreef op donderdag 24 februari 2005 @ 01:32:
Als ik het zo lees zou ik je "probleem" eens voorleggen aan een club als Crypsys.
Laat hun uitvogelen wat ze willen adviseren, en laat ze dat dan ook optuigen.
Dan heb je en de mogelijkheid om je support netjes te regelen, en je bent van een hoop geklooi af.
Denk ook aan aansprakelijkheid.

Ieder zijn vak, en 20 servers is even wat meer dan ff een doosje inpluggen.

My € 0.03 (inflation corrected)

Dan is de TS al meer kwijt aan consultancy dan een cisco firewall hem kost. Het beschikbare bedrag is iets van 200-300 Euro. Nogal beperkt voor serieuze oplossingen maar via Ebay misschien wel mogelijk.