[MASOCH-L] Firewall de perímetro - distribuído

Lucas Willian Bocchi lucas.bocchi at gmail.com
Thu Jan 9 14:13:12 -03 2014


Tem um daemon que eu uso com o li netfilter. Eu marco o tempo de entrada de
um pacote numa interface e meco o tempo que demora para sair na outra. Ele
escolhe pacotes ao acaso atraves do urandom e vai gravando as informacoes
do pacote como tamanho, origem, destino, tipo, flags etc etc e depois eu
comparo com resultados anteriores.
Em 09/01/2014 13:50, "Juliano Primavesi | KingHost Hospedagem de Sites" <
juliano at kinghost.com.br> escreveu:

>
> Como que tu mediu a performance?
>
> Juliano
>
> Em 09/01/2014, à(s) 13:49, Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> escreveu:
>
> > Respondendo a tua pergunta referente ao kernel, possuo cliente com 4
> > operadoras trafegando em torno de 500 megas com um dell r720 com uma
> placa
> > de rede intel quadport e uma broadcom dualport que uso como estudo dos
> > kernels. Com a ultima versao estavel percebi uma melhora de uns 2% no
> > forwarding de pacotes lembrando que esta maquina nao tem conntrack
> ativado
> > e nem regras de firewall alguma. Roda quagga. Se eu comparar com a versao
> > mais estavel do primeiro kernel que havia nessa maquina, o ganho de
> > performance eh em torno de uns 10%. Teve perca no kernel 10 mas retornou
> a
> > ser performatico apartir dai. Em comparacao com o freebsd 9.1 que possuo
> em
> > outro cliente com link parecido percebo pouca diferenca. Estou aguardando
> > uma chance de poder atualizar esta maquina bsd para um kernel mais atual
> > para comparar.
> > Em 09/01/2014 13:32, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
> >
> >> Esse parte é mais recente, veio a partir do kernel 3.5 de Julho de 2012.
> >>
> >> Aliás, o que o pessoal tem preferido para aplicações de rede ? 3.x
> mainline
> >> (atualmente 3.13-rc), 3.7 stable (atualmente 3.12), ou algum dos 3.x
> >> longterm (3.10, 3.4. 3.2) ?
> >>
> >> Rubens
> >>
> >>
> >>
> >>
> >>
> >> 2014/1/9 Douglas Fischer <fischerdouglas at gmail.com>
> >>
> >>> Muito interessante isso hein Rubens.
> >>>
> >>> Eu até sabia da troca básica de status de conexão.
> >>> Mas sobre os deep-inspections(Ex.: H323) eu esconhecia...
> >>>
> >>>
> >>>
> >>> Em 9 de janeiro de 2014 12:21, Rubens Kuhl <rubensk at gmail.com>
> escreveu:
> >>>
> >>>> 2014/1/8 Contato - NBINFO <contato at nbinfo.inf.br>
> >>>>
> >>>>> Boa tarde
> >>>>>
> >>>>>
> >>>>> Situação:
> >>>>>
> >>>>> Vários nós de roteamento de entrada e saídas, rodando o serviço de
> >>>>> firewall em cada nó, lembrando que o trafego pode sair por qualquer
> >> nó
> >>>> bem
> >>>>> como voltar.
> >>>>>
> >>>>> Necessidade manter o status das conexões, de forma a responder como
> >> se
> >>>>> fosse um único firewall.
> >>>>>
> >>>>>
> >>>>> Cenário atual:
> >>>>>
> >>>>> Atualmente eu forço o trafego para cada nó.
> >>>>>
> >>>>>
> >>>>> Necessidade:
> >>>>>
> >>>>> Alguma forma de automatizar a atuação dos firewall de modo a
> >>> trabalharem
> >>>>> de forma distribuída mas unificada.
> >>>>>
> >>>>>
> >>>>> Obs.:  Pode ser montada uma rede de gerencia exclusiva para a atuação
> >>>>> segura dos firewall.
> >>>>>
> >>>>>
> >>>>
> >>>>
> >>>> http://conntrack-tools.netfilter.org/
> >>>>
> >>>>
> >>>> Rubens
> >>>> __
> >>>> masoch-l list
> >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>
> >>>
> >>>
> >>>
> >>> --
> >>> Douglas Fernando Fischer
> >>> Engº de Controle e Automação
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list