[OpenBSD]486 genoeg voor firewall met 2 of 3 subnets? - Linux en overige clients

woensdag 21 januari 2004 20:33

Acties:

Verwijderd

Topicstarter

Ik ben van plan een openbsd firewall te maken, met 2 of 3 subnets. Ik vroeg me af of een 486 wel genoeg processorkracht heeft om alle pakketjes te filteren (en evt door te sturen naar 3 subnets).

Het is een 486 DX2 / 66mhz met 36mb geheugen.

Hij hangt aan een 1024/512 lijn (binnenkort 2048/1024).

Ik ben heel benieuwd of iemand ervaring hiermee heeft, en of hij de volle snelheid van de lijn aankan (bij vol verkeer).

woensdag 21 januari 2004 20:43

Acties:

cavey

mja, ik denk wel dat die stevig genoeg zal zijn....... hoe veel bakken gaan er aan hangen?

3 subnets volledig benut? Ja, dan kan het lastig worden...... als het slechts 10 computers in totaal zijn, dan moet dat met gemak kunnen......

(vriend van me had tijdje lang een 386 als gateway staan.. maar dat was wel aan casema internet.. hehe...... en 10Mbit netwerkje.......) ...

100Mbit kan wat lastiger worden..... maar op zich, voor het filteren van internet verkeer moet het prima gaan.....

woensdag 21 januari 2004 20:50

Acties:

JeroenT

hoi!

Lijkt me sterk als je een stel isa 100mbit kaartjes weet te bemachtigen

Maar kwa cpu power kan ie het makkelijk aan.. de meeste simpele routertjes heb een veel tragere cpu onboard

woensdag 21 januari 2004 21:03

Acties:

JJJ

Voor routeren geldt als vuistregel: 1 MHz per mbit, dus dat moet makkelijk kunnen

woensdag 21 januari 2004 21:13

Acties:

nzyme

terror

uhm, heb zelf de ervaring dat t qua speed niet lukken zal, want mijn 486 100mhz met 48mb en 15gb hdd met 3com pci 10/100 nic haalde maar 500kb up en down

(was wel met linux maar maak nie uit)

[ Voor 19% gewijzigd door nzyme op 21-01-2004 21:14 ]

| Hardcore - Terror |

woensdag 21 januari 2004 21:14

Acties:

moto-moi

Ja, ik haat jou ook :w

Klubbheads schreef op 21 januari 2004 @ 20:50:
Lijkt me sterk als je een stel isa 100mbit kaartjes weet te bemachtigen

ISA is niet het enige wat een 486're aankan hoor

Er zijn ook 486'ers te vinden die VLB of PCI aankunnen.

God, root, what is difference? | Talga Vassternich | IBM zuigt

woensdag 21 januari 2004 21:21

Acties:

Gondor

Ik gebruik deze als richt lijn voor me zelf:
P 100 MHZ + 128 MB voor vol 10Mbit + HTTP + SMTP + FTP

Vooral geheugen is belangrijk. Als het mogelijk is zou ik zeker wat meer geheugen in prikken.

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

woensdag 21 januari 2004 21:25

Acties:

blaataaps

Gondor schreef op 21 januari 2004 @ 21:21:
Ik gebruik deze als richt lijn voor me zelf:
P 100 MHZ + 128 MB voor vol 10Mbit + HTTP + SMTP + FTP

Vooral geheugen is belangrijk. Als het mogelijk is zou ik zeker wat meer geheugen in prikken.

Hij gaat er geen services op draaien (iig, hij heeft het in de topicstart alleen over routen en filteren), en ik kan je vertellen dat je voor routen niet meer geheugen voor nodig hebt dan hij nu heeft. En verder hangt het er maar vanaf of je met een p100 10mbit vol krijgt met de services die je net noemt, dat zie ik namelijk nog niet zo gebeuren, tenzij het om 3 bestanden, 2 statische html'etjes en 5 mailtjes per dag gaat.

[ Voor 3% gewijzigd door blaataaps op 21-01-2004 21:26 ]

woensdag 21 januari 2004 22:07

Acties:

Gondor

Het aantal connecties wat je firewall/router bij kan houden is alleen afhankelijk van je geheugen. Hier ga ik er van uit dat hij iptables (NAT) gaat gebruiken. Je kan wel een krachtige cpu hebben maar als je geheugen het niet toe staat kan hij maar een beperkt aantal connecties hebben. En dat kan dan zo weinig zijn dat je lijn niet volledig benut kan worden.

Ik heb een p200MMX + 128 SDRAM als FW/DNS server/HTTP/SFTP (excl. DNS alles IP afhankelijk) (binnen kort ook SMTP) en daar voor had ik hetzelfde met p166MMX + 128SDRAM met weinig verschil. En daarvoor een 166MMX + 64EDO nou met bijna constant geratel.

blaataaps schreef op 21 januari 2004 @ 21:25:
[...]

En verder hangt het er maar vanaf of je met een p100 10mbit vol krijgt met de services die je net noemt, dat zie ik namelijk nog niet zo gebeuren, tenzij het om 3 bestanden, 2 statische html'etjes en 5 mailtjes per dag gaat.

Lijkt me niet dat TS dit systeem voor een bedrijf met paar honderd mensen gaat gebruiken.

Maar dit is mijn ervaring kan natuurlijk aaltijd anders ook.

PS. Met 128 mb ram kan een systeem ca. 8192 connecties bij houden.

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

woensdag 21 januari 2004 23:48

Acties:

Infern0

Hou die ontzettende rust!!

Volgens mij wil het wel. Wij hebben hier een pentium 60 staan met 16mb en totaal 10 clients. We zitten achter een @home lijntje dus dat is max 450 kb/s down.

Heb nog niet echt iets van load gemerkt op die machine. Heb toch een redelijke pf.conf met queue ed.

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL

woensdag 21 januari 2004 23:58

Acties:

Verwijderd

Topicstarter

Bedankt voor alle nuttige reply's.

Ik wil het in 3 subnets om de volgende reden:

1 DMZ voor de server(s)
1 subnet voor werkstation(s)
1 subnet als DEC (voor VAX/Alpha VMS klootnet. Als hier iets vaags op gebeurd , wil ik niet dat de rest daaronder lijd

Ik heb heel toevallig 1 3com 100mbit isa kaartje

Een 2e is wel aan te komen denk ik (die is dan duurder dan het hele systeem zelf). Het DECnet subnet heeft geen 100mbit nodig , dat trekken die VAX-en toch niet.

Naar de meningen te luisteren moet het wel gaan. Nu is het wel zo dat het netwerk (naar buiten toe) soms redelijk belast kan zijn, aangezien 1 server in de DMZ een shoutcast radio draait.

Het is overigens puur voor hobby gebruik thuis, en er zullen in totaal niet meer dan 10 computers in staan.

Overigens ben ik van plan ipfilter te gebruiken icm OpenBSD

dan een ietsmeer offtopic vraag: Na wat gegoogle kwam ik er achter dat een 486 als firewall niet meer dan 25 watt gebruikt (36mb mem, dx2 proc en 2 gb quantum bigfoot hd (floppy en cdrom kunnen er uit). Kan iemand dat be-amen ?

overigens draai ik op de machine geen extra services (behalve ssh etc)

[ Voor 4% gewijzigd door Verwijderd op 21-01-2004 23:59 ]

donderdag 22 januari 2004 00:31

Acties:

tech-no-logical

Verwijderd schreef op 21 januari 2004 @ 23:58:
Overigens ben ik van plan ipfilter te gebruiken icm OpenBSD

waarom geen pf ? zit er standaard bij, ipfilter is van OpenBSD 3.2 en ouder.

mocht je problemen krijgen, sommige rules zijn niet altijd noodzakelijk, maar schijnen redelijk cpu-intensief te zijn. vooral packet-scrubbing/normalizing. dat zou je dan evt. nog uit kunnen zetten.

overigens draaide ik op m'n oude p133/64Mb ook OpenBSD, met firewall/ssh/mail/news/samba/xserver/webserver, en dat ging uitstekend. dus die geheugeneisen vallen ook wel mee.

donderdag 22 januari 2004 00:40

Acties:

Verwijderd

Topicstarter

tech-no-logical schreef op 22 januari 2004 @ 00:31:
[...]

waarom geen pf ? zit er standaard bij, ipfilter is van OpenBSD 3.2 en ouder.

zie je, zo ver loop ik al achter

even naar pf kijken dan

donderdag 22 januari 2004 10:48

Acties:

Sir Isaac

Ik heb zelf ook een 100Mhz 486 routertje met 48 Mb geheugen. Er hangen normaal gesproken 2 pc achter. Als ik iets download met 80 kbyte/sec, zie ik dat niet terug in mijn processor belasting. Ik heb dan wel 3Com netwerkkaartjes. Hoe het gaat met kaartjes die hun rekenwerk aan de cpu uitbesteden (realtek) weet ik niet.

Ik heb even een meting gedaan. Bij downloaden met 75kbyte/s zorgt voor 12% extra belasting van de processor. Ik heb het trouwens over een linux systeem (2.4 kernel) met iptables.

[ Voor 24% gewijzigd door Sir Isaac op 22-01-2004 11:22 . Reden: Even meting uitgevoerd ]

donderdag 22 januari 2004 11:02

Acties:

Nitroglycerine

Autisme: belemmering en kracht

Ik heb thuis een 486 dx2 66 met 64 MB EDO als firewall/router ingericht, RH9 met iptables. Werkt prima, geen snelheidsvermindering of hoge processorbelasting. In het intranet hangt een ftp & fileserver (bereikbaar voor ftp van buiten) en 3 pc's, die vrij veel p2p-verkeer genereren.
Je moet welliswaar geen X willen draaien

Hier kon uw advertentie staan

donderdag 22 januari 2004 13:52

Acties:

Verwijderd

Ik heb jaren lang een 486 gebruikt als router en verder nooit geen problemen mee gehad.

Mocht het zo zijn dat je diverse machines in die subnets publiekelijk toegankelijk zijn en jij dat allemaal wil regelen op de router/gateway en dit controleren dan zal je soms merken dat het loggen van al die events wat latency oplevert. Ook als je het verkeer tussen de subnets gaat regelen(filteren) dan kan dat wel is wat vertraging opleveren dit omdat ieder packet gecontroleerd word mits je daar een aantal rules voor gedefineerd hebt.

Wat vertraging is een ruim begrip en verschillende interpretaties mogelijk. De een vind die vertraging verwaarloosbaar en de ander juist niet.

donderdag 22 januari 2004 14:06

Acties:

SambalBij

We're all MAD here

Voor hobby gebruik moet je idd met die machine een aardig eind komen.
Ik heb op m'n werk een oude P133 staan met linux en iptables, die fungeert als firewall (geen NAT, wel filtering) tussen twee 100Mbit ethernet netwerken. Ik haal daarover ongeveer 50 a 60 megabit.
(Exact meten lukt niet, routing/iptables is bij linux een kernel-taal, en als ik op volle snelheid een data-transfer over die machine heen start, staat willekeurig welk meetprogramma volledig stil

)

Sometimes you just have to sit back, relax, and let the train wreck itself

donderdag 22 januari 2004 15:43

Acties:

Falcon

DevOps/Q.A. Engineer

HAL - 9000 ik heb hier nog wel een 3-com ISA 10 mbit... als je belang bij hebt hoor ik het wel..

PS: Ik zou met jouw en Madcow naar NOS-lan..

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

donderdag 22 januari 2004 16:11

Acties:

balk

Verwijderd schreef op 21 januari 2004 @ 20:33:
Hij hangt aan een 1024/512 lijn (binnenkort 2048/1024).

Wat voor soort aansluiting is dat? Ik heb een 100mbit PPPoE aansluiting (TU Delft) en dat is nou niet het meets efficiente protocol. Ik heb een P266 als router staan en met de standaard roaring penguin drivers kom je niet boven de 1,5 MB/s. Met andere drivers (behorende bij ppp) kan je het wel tot 4 a 5 opkrikken. Jouw router is 4x zo langzaam en je verbinding straks (@ max) 256 kB/s -> bijna maximale belasting van je cpu.

donderdag 22 januari 2004 22:43

Acties:

justice strike

bedenk ook dat hoe sneller de processor, hoe beter de ping tijden worden.

U can call me sir.... or justice as long as u bow down ;)

donderdag 22 januari 2004 22:46

Acties:

blaataaps

justice_strike schreef op 22 januari 2004 @ 22:43:
bedenk ook dat hoe sneller de processor, hoe beter de ping tijden worden.

Dat lijkt me sterk, zolang de processor niet 100% belast is. Ik zie 486's hier niet langzamer pingen dan een p4, zodra hij full load heeft is dat vast anders, maar over het algemeen is dat onzin.

vrijdag 23 januari 2004 11:46

Acties:

justice strike

definieer full load maar is. Is dat het gebruik van alle componenten of alleen de integer gedeelte van de proc.

daarbij als je een p4 hebt die 2ghz is met een 15 stage pipeline (om maar een voorbeeld te noemen) dan duurt het voor een pakket (hoeveel instructies zou je hiervoor nodig hebben?? ik schat 4000~5000 instructies tcp.c is alleen al 1407 regels en dan hebben we niet eens ip.c gehad dan niet te vergeten de lost cycles vanwege memory acess (of nog erger disk acces) en dan nog het beslissen waar het naartoe moet (de nat functie) ik denk dat 10000 instructies niet onredelijk is

1/2000*15=0,0075microsec*10000 = 0.075millisec als je dat vergelijkt met een 4 stage 486 van 66 mhz is dat 1/33*4=0,030microsec*10000 = 0.3 millisec

inderdaad scheelt niet zo erg veel, maar dan hebben we het wel over 1 pakket als we het over meerdere pakketten hebben superscalar design etc..

U can call me sir.... or justice as long as u bow down ;)

vrijdag 23 januari 2004 11:54

Acties:

JeroenT

hoi!

justice_strike schreef op 23 januari 2004 @ 11:46:
definieer full load maar is. Is dat het gebruik van alle componenten of alleen de integer gedeelte van de proc.

daarbij als je een p4 hebt die 2ghz is met een 15 stage pipeline (om maar een voorbeeld te noemen) dan duurt het voor een pakket (hoeveel instructies zou je hiervoor nodig hebben?? ik schat 4000~5000 instructies tcp.c is alleen al 1407 regels en dan hebben we niet eens ip.c gehad dan niet te vergeten de lost cycles vanwege memory acess (of nog erger disk acces) en dan nog het beslissen waar het naartoe moet (de nat functie) ik denk dat 10000 instructies niet onredelijk is

1/2000*15=0,0075microsec*10000 = 0.075millisec als je dat vergelijkt met een 4 stage 486 van 66 mhz is dat 1/33*4=0,030microsec*10000 = 0.3 millisec

inderdaad scheelt niet zo erg veel, maar dan hebben we het wel over 1 pakket als we het over meerdere pakketten hebben superscalar design etc..

Iemand met kennis heren

Ik merkte zelf ook een aanzienlijke verbetering op een 100mbit lijn toen ik van een P233 naar een PIII 667 ging , ook een veel hogere throughput dusja..

vrijdag 23 januari 2004 12:33

Acties:

justice strike

mja ik weet dat omdat de zeixel adsl modems een snellere proc hebben dan de copperjet, en daar is de ping een stuk lager dan bij de copperjets (vergelijking copperjet 31 ms zeixel 14 ms)

had trouwens nog heel erg theoretisch gehouden, we zijn natuurlijk er vanuit gegaan dat elke instructie meteen erdoor heen kan gaan (meestal moet hij het antwoord van de vorige instructie hebben) en natuurlijk de system load van het os en de firewall niet meegerekend (wat op een 468 wel degelijk een impact kan zijn

[ Voor 47% gewijzigd door justice strike op 23-01-2004 13:07 ]

U can call me sir.... or justice as long as u bow down ;)