[MASOCH-L] Roteador/filtro de pacotes com Linux: necessidade de rotear/filtrar tráfego gigabit: especificação de hardware.

[Tukso Antartiko]

Não entendo muito do assunto, mas como ninguém disse o pouco que sei ...

12kpps não é alto mas supondo que você vá usar mesmo 300kpps eu não
utilizaria linux com iptables a não ser que queira testar os limites desta
configuração. A princípio FreeBSD + ipfw aguenta sem problemas, mas tomando
cuidado com a quantidade/qualidade das suas regras e a capacidade do
hardware. Como disse não sou especialista, para maiores detalhes veja em uma
lista especializada do ipfw. Mas para constar não acho que uma placa gbit
pci seja séria, tente escolher uma que além de boa tenha bom suporte no
kernel e um P4 HT vai te dar pouca redundância.

Você deve estar recebendo várias propostas de appliances mas qualquer um
muito barato deve ser na verdade um pc rodando FreeBSD.

On 9/24/07, casfre at gmail.com <casfre at gmail.com> wrote:
>
> Pessoal,
>
>      Estou buscando uma solução para resolver o seguinte problema:
>
>      Há uma DMZ, com servidores  (web atualmente) que precisam de
> acesso a servidores de bancos de dados (CRÍTICOS). Entre a DMZ e os
> CRÍTICOS, há um filtro de pacotes (FW1) com Linux.
>
>      Há a rede INTERNA, que também precisa de acesso aos CRÍTICOS (
> via aplicação/bde). Entre eles, há um filtro de pacotes (FW2) com
> Linux.
>
>      Atualmente há, na DMZ, 3 servidores que precisam de acesso aos
> CRÍTICOS e, na INTERNA 50 estações com acesso direto (aplicação/bde).
>
>      Solicitou-se uma alteração que elevará esse número para cerca de
> 120 estações, sendo que, a demanda das 70 adicionais será (previsão)
> bem superior à das atuais. Além disso, há previsão de aumento nos
> acessos feitos nas atuais 50 estações.
>
>      O esquema é assim ( aceita-se anexo na lista?)  (sw1 é um SWITCH só):
>
> DMZ>SWITCH>FW1>(sw1)>CRÍTICOS<(sw1)<FW2<SWITCH<INTERNA
>
>      Problema: o tráfego em FW2 (e, em breve em FW1), está alto e
> preciso rotear/filtrar volumes que tendem a 1Gbps. Estimo (
> infelizmente só estimo ) que haverá necessidade de filtrar/rotear
> acima de 300kpps.
>
>      Atualmente, FW1 e FW2 são P4 HT 3.0, 512MB RAM, com placa de rede
> e1000 (Intel - gigabit) onboard e DGE530 (Dlink - gigabit) em um slot
> PCI. Há uma terceira placa de rede FAST ETH, mas só para monitoração
> (ssh).
>
>      Tenho dados ( em ambiente de testes ) de roteamento/filtragem (
> uma dúzia de regras de iptables ), de até 35kpps(?) (verificarei esse
> número - iptraf), mas a placa DGE chegou a registrar um alto número de
> overruns ( ifconfig ). Em produção, atualmente, FW2 mostra próximo de
> 12kpps (pico máximo). ( Linux Slackware 11.0 - Kernel série 2.6 ).
>
>      Para o momento, eu preciso achar ( ou tentar ) um PC e placas de
> rede que sejam capazes de fazer isso, usando Linux e mantendo a atual
> estrutura. Há propostas para fazer uma análise/reestruturação completa
> da rede, mas o custo ainda é proibitivo, (para o momento).
>
>      Alguém saberia me indicar que tipo de placa mãe conseguiria
> suportar tais placas de rede e que placas de rede suportariam tal
> demanda?  Estou buscando soluções que utilizem PCI Express, mas não
> tenho experiência com placas de rede/hardware de alta performance (
> processamento próprio para não sobrecarregar a CPU, dual port, quad
> port etc).
>
>      Também estou procurando informações sobre roteadores/filtros
> Linux nessas condições (google - fornecedores), mas ainda não consegui
> chegar a uma especificação.
>
>      Por fim, qualquer informação será de grande ajuda, inclusive
> sobre algum appliance que possa suportar a demanda, pois, creio eu, o
> PC em questão não deve ficar barato, logo, um appliance pode se tornar
> "atingível".
>
>      Agradeço pela atenção.
>
> Cássio
>
>