Forum: PC Hard- und Software Welche Rechenleistung für Firewall notwendig?


von Oli (Gast)


Lesenswert?

Hi.

Vielleicht hat hier jemand Erfahrung damit:

Ich möchte eine Firewall/Router auf x86 Basis mit einer der üblichen 
Firewalldistributionen wie z.B. pfsense, oder manuell eingerichtet unter 
Debian realisieren.

Wieviel Rechenleistung/Ram benötige ich etwa, wenn ich das System so 
auslegen will, dass es 100 Mbit/s + Reserve schafft?

Welche Leistung ist erforderlich, wenn ich es auf Gigabit Ethernet 
auslegen möchte?

von Εrnst B. (ernst)


Lesenswert?

Ein Vergleichswert:
1GHz Pentium III (Coppermine), 256MB Ram
Langweilt sich als Firewall mit 3x 100MBit Ethernet + OpenVPN.
Ca. 1000 IPTables-Rules sind aktiv (incl. contrack für FTP etc), Load 
ist < 0.01.
Die meiste Rechenzeit verbraucht der snmpd.

D.h. jeder Atom-Stromspar-PC sollte dafür locker reichen.

Bei Gigabit hingegen muss man schon tief in die Tasche greifen, damit 
die Hardware schnell genug die Daten von einem Interface zum andern 
schaufeln kann, ganz ohne Firewall dazwischen.

von (prx) A. K. (prx)


Lesenswert?

Rechenleistung ist vor Allem dann ein Thema, wenn die Firewall in hohem 
Umfang ver/entschlüsseln muss, d.h. wenn sie den Endpunkt 
durchsatzstarker VPNs bildet.

Solange man mit einem 100Mbps Ethernet nur Daten von links nach rechts 
und zurück schaufelt ist jeder Rechner der letzten 10 Jahre schnell 
genug.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

Oli schrieb:
> Welche Leistung ist erforderlich, wenn ich es auf Gigabit Ethernet
> auslegen möchte?

Naja, Gigabit-Ethernet bekommst du ja schon ohne Firewall mit normaler
PC-Technik kaum zu 100 % Geschwindigkeit geroutet.  Die meisten
Billig-NICs bringen's doch nicht auf viel mehr als 50 % davon, oder?

Ansonsten: für normales DSL habe ich vor kurzem endlich meinen
Firewall mit einem i486/75 durch einen mit einem Pentium II mit
stolzen 360 MHz CPU-Takt ersetzt.  Seitdem ist der Durchsatz wirklich
höher geworden. :-)  Der i486/75 hat dabei sogar eine zeitlang noch
einen IPsec-Tunnel gefahren, allerdings war die Leitung damals noch
eine mit der ursprünglichen DSL-Geschwindigkeit (was war das gleich?
768 kbit/s downstream, glaub ich).

Das sollte so ungefähr die Grenze aufzeigen.

von (prx) A. K. (prx)


Lesenswert?

Jörg Wunsch schrieb:

> Naja, Gigabit-Ethernet bekommst du ja schon ohne Firewall mit normaler
> PC-Technik kaum zu 100 % Geschwindigkeit geroutet.  Die meisten
> Billig-NICs bringen's doch nicht auf viel mehr als 50 % davon, oder?

Wenn man ernsthaft 1Gbps anpeilt, dann sollte man nicht ausgerechnet auf 
die auf den billigen Karten fast durchweg zu findenden Realteks setzen, 
klar doch. Da geht man dann besser auf Broadcom oder Intel - soo arg 
teuer sind die auch nicht und insbesondere bei den bei Firewalls/Routern 
naheliegenden Multi-Port Karten sind die sowieso verbreiteter.

von alixroxx (Gast)


Lesenswert?

Εrnst B✶ schrieb:
> 1GHz Pentium III (Coppermine), 256MB Ram
> Langweilt sich als Firewall mit 3x 100MBit Ethernet + OpenVPN.
> Ca. 1000 IPTables-Rules sind aktiv (incl. contrack für FTP etc), Load
> ist < 0.01.
> Die meiste Rechenzeit verbraucht der snmpd.

Die Firewall läuft aber im Kernel Space. Kann gut sein, dass CPU/Busse 
gut ausgelastet sind. Mit top & co lässt sich darüber nix aussagen.

Ich habe ein kleines alix Board zu Hause, das macht WiFi und 4x 
100Mbit/s Ethernet. Auch mit eingeschalteter Firewall ist es möglich, 
die 55Mbit/s voll auszureizen (WLAN<->LAN).

von (prx) A. K. (prx)


Lesenswert?

alixroxx schrieb:

> Die Firewall läuft aber im Kernel Space. Kann gut sein, dass CPU/Busse
> gut ausgelastet sind.

Wenn man 3 gut ausgelastete 100Mb an einem einzigen PCI-Bus hängen hat, 
dann wird's dort schon etwas grenzwertig.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.