mikrocontroller.net

Forum: PC Hard- und Software Welche Rechenleistung für Firewall notwendig?


Autor: Oli (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hi.

Vielleicht hat hier jemand Erfahrung damit:

Ich möchte eine Firewall/Router auf x86 Basis mit einer der üblichen 
Firewalldistributionen wie z.B. pfsense, oder manuell eingerichtet unter 
Debian realisieren.

Wieviel Rechenleistung/Ram benötige ich etwa, wenn ich das System so 
auslegen will, dass es 100 Mbit/s + Reserve schafft?

Welche Leistung ist erforderlich, wenn ich es auf Gigabit Ethernet 
auslegen möchte?

Autor: Εrnst B✶ (ernst)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein Vergleichswert:
1GHz Pentium III (Coppermine), 256MB Ram
Langweilt sich als Firewall mit 3x 100MBit Ethernet + OpenVPN.
Ca. 1000 IPTables-Rules sind aktiv (incl. contrack für FTP etc), Load 
ist < 0.01.
Die meiste Rechenzeit verbraucht der snmpd.

D.h. jeder Atom-Stromspar-PC sollte dafür locker reichen.

Bei Gigabit hingegen muss man schon tief in die Tasche greifen, damit 
die Hardware schnell genug die Daten von einem Interface zum andern 
schaufeln kann, ganz ohne Firewall dazwischen.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rechenleistung ist vor Allem dann ein Thema, wenn die Firewall in hohem 
Umfang ver/entschlüsseln muss, d.h. wenn sie den Endpunkt 
durchsatzstarker VPNs bildet.

Solange man mit einem 100Mbps Ethernet nur Daten von links nach rechts 
und zurück schaufelt ist jeder Rechner der letzten 10 Jahre schnell 
genug.

Autor: Jörg Wunsch (dl8dtl) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Oli schrieb:
> Welche Leistung ist erforderlich, wenn ich es auf Gigabit Ethernet
> auslegen möchte?

Naja, Gigabit-Ethernet bekommst du ja schon ohne Firewall mit normaler
PC-Technik kaum zu 100 % Geschwindigkeit geroutet.  Die meisten
Billig-NICs bringen's doch nicht auf viel mehr als 50 % davon, oder?

Ansonsten: für normales DSL habe ich vor kurzem endlich meinen
Firewall mit einem i486/75 durch einen mit einem Pentium II mit
stolzen 360 MHz CPU-Takt ersetzt.  Seitdem ist der Durchsatz wirklich
höher geworden. :-)  Der i486/75 hat dabei sogar eine zeitlang noch
einen IPsec-Tunnel gefahren, allerdings war die Leitung damals noch
eine mit der ursprünglichen DSL-Geschwindigkeit (was war das gleich?
768 kbit/s downstream, glaub ich).

Das sollte so ungefähr die Grenze aufzeigen.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jörg Wunsch schrieb:

> Naja, Gigabit-Ethernet bekommst du ja schon ohne Firewall mit normaler
> PC-Technik kaum zu 100 % Geschwindigkeit geroutet.  Die meisten
> Billig-NICs bringen's doch nicht auf viel mehr als 50 % davon, oder?

Wenn man ernsthaft 1Gbps anpeilt, dann sollte man nicht ausgerechnet auf 
die auf den billigen Karten fast durchweg zu findenden Realteks setzen, 
klar doch. Da geht man dann besser auf Broadcom oder Intel - soo arg 
teuer sind die auch nicht und insbesondere bei den bei Firewalls/Routern 
naheliegenden Multi-Port Karten sind die sowieso verbreiteter.

Autor: alixroxx (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Εrnst B✶ schrieb:
> 1GHz Pentium III (Coppermine), 256MB Ram
> Langweilt sich als Firewall mit 3x 100MBit Ethernet + OpenVPN.
> Ca. 1000 IPTables-Rules sind aktiv (incl. contrack für FTP etc), Load
> ist < 0.01.
> Die meiste Rechenzeit verbraucht der snmpd.

Die Firewall läuft aber im Kernel Space. Kann gut sein, dass CPU/Busse 
gut ausgelastet sind. Mit top & co lässt sich darüber nix aussagen.

Ich habe ein kleines alix Board zu Hause, das macht WiFi und 4x 
100Mbit/s Ethernet. Auch mit eingeschalteter Firewall ist es möglich, 
die 55Mbit/s voll auszureizen (WLAN<->LAN).

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
alixroxx schrieb:

> Die Firewall läuft aber im Kernel Space. Kann gut sein, dass CPU/Busse
> gut ausgelastet sind.

Wenn man 3 gut ausgelastete 100Mb an einem einzigen PCI-Bus hängen hat, 
dann wird's dort schon etwas grenzwertig.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.