Quelle genre de machine (processeur / mémoire) est il nécessaire d'avoir pour faire tourner un pare-feu filtrant pour un réseau d'environ 150 postes ?
Sachant que l'utilisation d'internet est je pense assez intensive, et le lien vers l'extérieur est sans doute dans les 100Mb.
On nous conseille une machine neuve qui coûte dans les 1000 ¤ (je n'ai pas les specs). Je pensais pour ma part qu'une machine de récupération (on a ce qu'il faut), pourrait suffire.
Vos avis ? Expériences ?
Merci.
Forum Linux.général Pare-feu Linux
3
mar.
2005
# Attention quand même au sous-dimensionnement...
Posté par galactikboulay . Évalué à 1.
Pour 100 Mb/s, je tablerais plus sur une machine de type Pentium à 1.5 Ghz qu'un Pentium 200 Mhz.
Au fait, quel système comptes-tu installer ? Linux, un *BSD, autre ?
Au fait, il y a des cartes réseaux qui font du calcul de checksum TCP et autres en hardware, ça peut être intéressant d'utiliser de telles cartes pour décharger la CPU de la machine.
[^] # Re: Attention quand même au sous-dimensionnement...
Posté par Anonyme . Évalué à 3.
http://www.fefe.de/linuxeth/
L'auteur y precise meme si la carte propose le checksum tcp en hardware
[^] # Re: Attention quand même au sous-dimensionnement...
Posté par galactikboulay . Évalué à 1.
Du coup je te pertinente allégremment pour ce lien super utile! :)
[^] # Re: Attention quand même au sous-dimensionnement...
Posté par icyfemur . Évalué à 2.
Mon avis naïf sur la question, c'est que étant donné que le parefeu est une tache dans le noyau, que justement y a pas de NAT à faire, et que la machine sera dédiée à ce pare-feu et à rien d'autre, une petite machine est suffisante, avec un petit disque de récup (éventuellement si on veut faires bien les choses 2 petit disques, monté en RAID)...
Mon Linux à la maison (Athlon XP 1800+) s'en sort pas trop mal pour faire le NAT sur les....^W le poste qui est derrière... mais je n'ai pas d'expérience sur un réseau plus conséquent.
[^] # Re: Attention quand même au sous-dimensionnement...
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
Un live-CD peut être une bonne idée pour ce genre de machine.
# Attention au sur-dimensionnement ;)
Posté par Jean Parpaillon (site web personnel) . Évalué à 2.
- une trame ethernet = ~1ko
- 100Mbps : ~12500 trames/sec max
- hypothèse pessimiste n°1 : pour chaque trame, le système teste les 4 champs intéressants : @source, @destination, port source, port destination.
- hypothèse super pessimiste n°2 : les trames sont testées avec chaque règle du firewall. Super pessimiste étant donné que le fonctionnement d'un firewall, en général, est d'appliquer la première règle qui colle.
Avec une moyenne de 10 règles par chaînes. Avec iptables (linux 2.4 et plus), tu as 3 chaînes : une pour chaque interface (une tournée vers internet, l'autre vers le LAN) et une globale pour la machine :
Soit :
12 500 trames x 4 champs x 10 règles x 3 chaines = 1 500 000 tests/sec
Même si le calcul est pifométrique, les ordres de grandeur me semblent corrects et les hypothèses très pessimistes (à part peut-être sur le nombre de règles, mais là, c'est vraiment trop variable d'un firewall à l'autre).
Résultat pifométrique: je vote pour le pentium 200.
Voilà mon avis, mais argumenté ;-)
"Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier
[^] # Re: Attention au sur-dimensionnement ;)
Posté par Maxime (site web personnel) . Évalué à 2.
Je ne sais pas du tout ce qu'il faudrai comme machine mais personnelement je peux vous garantir que mon pentium 200 fait très bien son boulot pour mes 2 ordis clients :)
Je sais pas si tu as le temps ou si l'argent est vraiment important etc... Mais le mieu je pense c'est que tu prennes une machine de recup mais assez recente quand meme genre PII ou PIII et là tu fais quelques tests (pas forcement avec le vrai reseau si ca pose trop de probleme mais juste en testant avec une 10 aine à fond dessus et en regardant ce que ca consomme déjà...)
En tout cas une chose est sur, pour moi si ton serveur ne fait qu'appliquer des regles iptables, qu'il n'y ai rien d'autre comme service important dessus, 1000Euros c un peu exageré... (avec 500 tu peux t'en tirer avec un très bon truc je pense)
[^] # Re: Attention au sur-dimensionnement ;)
Posté par galactikboulay . Évalué à 1.
Ton calcul ne me semble pas erroné dans l'idée, mais si il y a du NAT à gérer c'est plus complexe: il faut maintenir une table de translation en mémoire (en général, une table de hashage), et la réécriture des paquets n'est pas triviale. Ajouter à cela la gestion des protocoles spéciaux comme H.232 ou FTP où il faut aller plus en profondeur dans la trame.
Tout cela étant dit, je n'ai vraiment aucune certitude sur le matériel adéquat - j'ai proposé le pentium à 1.5 Ghz au feeling d'après mon expérience ;)
Ca serait intéressant que qqn qui a déjà mis en place ce genre de solutions pour des débits assez élevés fasse part de son expérience.
[^] # Re: Attention au sur-dimensionnement ;)
Posté par syntaxerror . Évalué à 2.
J'ai longtemps eu un desktop P75 de récup, puis au passage en 100Mbps un P200.
Eh bien le facteur limitant n'était pas le CPU mais bien la vieillerie de la machine
et donc le mauvais support hardware des cartes réseau récentes.
Maintenant j'ai un serveur PIII 800MHz avec des cartes réseau estampillées "server"
et ça débite (mais pas de NAT).
Les cartes dites "desktop" sont à proscrire. 'tention au eepro100, ya plein de chipsets différents.
Le disque ne sert en gros qu'au logging (conséquent).
# Une ch'tite config suffit !
Posté par Gyro Gearllose . Évalué à 2.
J'ai installé un petit ipcop dessus, il dispose de deux cartes réseaux, et dessert les 3/4 pc de la maison sans broncher ! J'ai même envisagé de le downclocker pour gagner le bruit d'un ventilo...
Au boulot, on a une config plus importante sur laquelle est monté un AMON. Je n'ai pas la config en tête, mais si ça t'intéresse, je pourrais regarder demain la config exacte.
Dans les deux cas, y'a un max de RAM. A la maison, il y a 128Mo, ce qui est énorme quand on voit la liste des process qui tournent :
un ps x reporte :
pppd
crond
httpd
dhcpd
sshd
squid
et c'est tout.....
Les autres process sont pour le kernel, pas de quoi foueter un chat.
En voilà le load average au moment où j'écris ces lignes :
load average: 0.08, 0.04, 0.02
Evidement, ça ne dessert pas 150 machines, mais je suis quand même en réseau 100Mo/ADSL 1M.
Au boulot, y'a une centaine de postes, et une ligne adsl 2M.
Je détaillerai la machine demain.
[^] # Re: Une ch'tite config suffit !
Posté par icyfemur . Évalué à 2.
[^] # Re: Une ch'tite config suffit !
Posté par Gyro Gearllose . Évalué à 2.
Intel(R) Pentium(R) 4 CPU 2.40GHz
256 Mo de RAM
DD 80Go.
C'est un powerEdge650 de base.
Y'a deux cartes réseaux, et ça marche très bien. Ca ne fait pas de nat (enfin pas que je sache), mais ça fait du squid à outrance, du snort, du ssh, enfin, plein de choses, sans broncher pour la centaine de micros.
Evidement, il est sous Linux. C'est un AMON [1].
Après, ça dépend vraiment de l'utilisation que vous en ferez, mais à mon avis, la config ci-dessus est _très_ largement surdimensionnée.
Pour preuve la sortie suivante sur cette machine :
$ uptime
11:12am up 241 days, 3:44, 1 user, load average: 1.30, 1.35, 1.01
L'est bien trop stressée l'bestiau !!!!
Voilà. A défaut de raconter ma vie, j'espère que tout ça vous aidera à faire un choix.
[1] : http://eole.orion.education.fr/diff/rubrique.php3?id_rubrique=4(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.