Vlákno názorů k článku FireHOL - nejsnazší firewall od anonym - Osobne pouzivam script Arno's firewall http://rocky.molphys.leidenuniv.nl/ , ktery...
-
anonymníOsobne pouzivam script Arno's firewall http://rocky.molphys.leidenuniv.nl/ , ktery je pro 2 sitovky. Lze jej snadno nastavit. Kvalitnejsi firewall by mel umet po pridani adresy na black list pripojeni odstrihnout (pisi to zamerne, ne vsechny firewally to umi/umely). Pokud je vsak na black listu ~1500 rozsahu adres (na netu jsou i black listy s 22000 rozsahy), tak propustnost klesne z 28MB/s na 2.8MB/s - sempron 1800MHz 99% zatez procesoru; 1Gb sitovky. Reread black listu ~25[sek]. Duron 1200MHz je ~2x pomalejsi.
Netestoval jsem onech 22000, ale pokud by to slo linearne (kazdych dalsich 1500 rozsahu snizi propustnost o rad), pak propustnost by klesla na ~0.00000028[B/sek] = 1 bajt za 41 dni (az se to zda neuveritelne).
Je zajimave, ze vetsina recenzentu propustnost firewallu pomiji, ackoli se muze jednat o pomerne kriticke hrdlo.
P.S: Cisla se vztahuji na script z vyse uvedene stranky. -
Dd,Obavam se, ze jste trosku mimo... V clanku se pise o SW, ktery dokaze vygenerovat pravidla pro iptables tak, aby bylo dosazeno odpovidajici funkcnosti.
Jak s tim souvisi propustnost firewallu?
Propustnost firewallu je prece zalezitost tykajici se poctu pravidel, rychlosti procesoru, rychlosti sitovych rozhrani apod., nikoliv skriptu, ktery mi generuje pravidla.
Ano, na tom, jak jsou pravidla vygenerovane, jiste propustnost zavisi. Jestlize ale nejsem schopen presvedcit nejaky skript, aby mi adresy blacklistu (ja to tedy spise delam obracene, takze adresy whitelistu) usporadal tak, abych je nemel postupne v jednom chainu, pokud je jich uz tolik, pak je cas ke zmene. A navic dneska uz snad kazdy pouziva ip_conntrack, takze rozhodovani se provadi pouze nad pakety, ktere zahajuji spojeni, ne?
A co se tyce toho "kvalitnejsiho firewallu": to nezavisi na kvalite firewallu, ale na zpusobu provedeni. Je jasne, ze pokud se pouziva ip_conntrack modul v kombinaci s blacklistem, tak tuto funkcionalitu nedostanete. Utocnik nebude sice moci navazat spojeni do budoucna, ale stavajici spojeni zustane v cinnosti. Pokud se budete drzet na bezpecnejsi strane a pouzijete kombinaci ip_conntrack + whitelist, tak jste za vodou.
Proste: at delate s cim delate, vzdycky nakonec skoncite u iptables (pripadne u ipchains). Kdyz ale vite, co delate, bezpecnost bude o mnoho vyssi a propustnost Vam nebude klesat tak dramaticky.
Zdravi
Honza
