Hoi,
Voor mijn shellhosting netwerk heb ik enige tijd geleden een firewall gemaakt. Het is een 1.7GHz p4 met (op dit moment) 512Mb geheugen, Debian GNU/Linux en op dit moment een 2.6 kernel (ivm wazige irq problemen bij 2.4, maar dat ter zijde).
Ik maak gebruik van ethernet bridging en etabled, een soort firewalling voor over ethernet bridges. Dit werkt gewoon met iptables.
Ik heb een uplink die mijn firewall in gaat, een touwtje naar de betreffende backend-server(s) en een nicje naar een lokaal netwerk. In totaal 3 nic's dus.
Het nut van deze opstelling is dat ik zo'n 3000 euro uit spaar en ik er lekker mee uit mijn dak kan gaan. Geen belemmeringen door een web interface of andersinds.
Ik krijg hierop regelmatig DDoS aanvallen. Ik wil die op mijn firewall machine droppen zodat de achterliggende 'farm' er geen of minder last van heeft (dit omdat er voor die firewall al traffic shaping op transit niveau plaatsvind). Bij simpele piekjes gaat dit super. De firewall loopt de boze pakketjes weg te trappen en de achterliggende server krijgt niets op zijn dak.
Nu het probleem: Bij iéts hevigere aanvallen (dan praten we bijv over 50-100mbps met veel packets/s) loopt mijn geheugen vol en is de machine onbruikbaar. Ik moet 'm dan hard resetten omdat ik anders kan wachten tot ik een ons weeg.
Op dit moment hangt 'ie voor jan doedel in de colo omdat ik met dit probleem blijf zitten. Nu vraag ik me af: Heb ik te weinig geheugen, ben ik te heavy user voor iptables, is ethernet bridging hier niet stabiel genoeg voor of doe ik iets fout?
Tot zover dit warrige verhaal
Voor mijn shellhosting netwerk heb ik enige tijd geleden een firewall gemaakt. Het is een 1.7GHz p4 met (op dit moment) 512Mb geheugen, Debian GNU/Linux en op dit moment een 2.6 kernel (ivm wazige irq problemen bij 2.4, maar dat ter zijde).
Ik maak gebruik van ethernet bridging en etabled, een soort firewalling voor over ethernet bridges. Dit werkt gewoon met iptables.
Ik heb een uplink die mijn firewall in gaat, een touwtje naar de betreffende backend-server(s) en een nicje naar een lokaal netwerk. In totaal 3 nic's dus.
Het nut van deze opstelling is dat ik zo'n 3000 euro uit spaar en ik er lekker mee uit mijn dak kan gaan. Geen belemmeringen door een web interface of andersinds.
Ik krijg hierop regelmatig DDoS aanvallen. Ik wil die op mijn firewall machine droppen zodat de achterliggende 'farm' er geen of minder last van heeft (dit omdat er voor die firewall al traffic shaping op transit niveau plaatsvind). Bij simpele piekjes gaat dit super. De firewall loopt de boze pakketjes weg te trappen en de achterliggende server krijgt niets op zijn dak.
Nu het probleem: Bij iéts hevigere aanvallen (dan praten we bijv over 50-100mbps met veel packets/s) loopt mijn geheugen vol en is de machine onbruikbaar. Ik moet 'm dan hard resetten omdat ik anders kan wachten tot ik een ons weeg.
Op dit moment hangt 'ie voor jan doedel in de colo omdat ik met dit probleem blijf zitten. Nu vraag ik me af: Heb ik te weinig geheugen, ben ik te heavy user voor iptables, is ethernet bridging hier niet stabiel genoeg voor of doe ik iets fout?
Tot zover dit warrige verhaal
