27. september 2005 - 09:57Der er
8 kommentarer og 1 løsning
Firewall uden NAT
Hey hey.
Hvad findes der af firewalls (både software og hardware), som gør mig i stand til at have samme IP adresse på begge sider af firewallen?
Jeg har 2 servere stående i et rackskab, og jeg har fået tildelt 4 IP adresser. p.t. har jeg en ZyWALL 2 liggende i skabet, men med den kan jeg kun bruge én af mine WAN IP adresser...
Hvordan sørger jeg for at mine servers bare indstilles med deres WAN IP selv, og firewallen ikke begynder at syntes den skal være DHCP server eller at den skal NAT-route alt?
Nogle der kan anbefale et produkt? Jeg har brug for at kunne gå højere end 100 mbps (hvilket min ZyWALL heller ikke kan), så den skal kunne håndterer dét også...
Det du beder om er IKKE billigt :) Jeg er ikke umiddelbart bekendt med en firewall der fungere som du beskriver. Umiddeelbart kan jeg ikke få det til at være muligt at firewalle på samme subnet (med mindre der er tale om en switch med firewall funktionalitet (DYRT) eller en software firewall på den enkelte maskine.
Hvis du køber en WatchGuard Firebox X500 får du den hastighed du ønsker. Er det fordi du har 100mbit internet, eller fordi den skal firewalle på et LAN? Den kan desuden også lave NAT med flere IP'er, hvorfor du måske ikke behøver en funky løsning til at firewall på samme subet.
Jeg ville tro at en kraftig PC med 2 GigaBit lankort, Netfilter, og en tunet linux kernel ville kunne klare opgaven (det er her throuput der er problemet, ikke firewall uden nat, det kan de fleste faktisk klare)
Yea - prisen er rimlig kostlig - det jeg har set på koster 50K fra Cisco.
Men det er til firmahosting for en af mine kunder som kører streaming (eller det siger de at de vil - og med mine udregninger er 200+ mbps ikke urealistisk for den streamingopgave de vil lave).
Jeg tror også at en linux-box med gigabit adapters er den rigtige løsning - ville bare lige have en et par andre menneskers mening om problemstillingen :)
For å få til dette så behøver du en bridging firewall. Linux kernel 2.4.x støtter ikke dette som default. Dette skyldes at dataflowen gjennom kernel er slik at en bridging fuction vil bypasse den ordinære firewall funksjonen. Det å etablere en bridge på en Linux 2.4.x vil med andre ord medføre at det ikke lengere finnes noen firewall, kun en bridge. Det er mulig å modifisere 2.4.x kernelen slik at datastømmen blir anderledes.
For 2.6.x kernel så er dette endret slik at denne kernel støtter bridging firewalling som default. Hvis man tar utgangspunkt i en standard distro med 2.6.x, for eksempel Centos 4.1 så kan denne bridging firewalling "by default". (Man må selvfølgelig konfigurere opp en bridge. Firewall funksjonen vil da fungere tilnærmet normalt, men ikke helt.)
Hvis man setter opp en 2 eller fler port brige/firewall så kan man velge hvor mange ip er man vil tilordne denne. Man kan godt tilordne selve broen en ip slik at man vil kunne bruke samme ip til å adressere bridge pc fra hver sin side av lan.
Det er også mulig å tilordne ip'er på en helt annen måte, for eksempel eth0 = ip 1, eth1 = ip 2, og br0 = ip3. Alle ip må være i samme subnet. Man kan også tilordne 0 ip'er, men dette blir ganske spesielt mht konfigurering. Man kan for eksempel ikke logge seg på vha ssh klient forsdi det ikke er mulig å adressere firewall pc. Dette gjør den jo også litt vanskelig å angripe.
Vet ikke om den kan klare 100 mbps. Det ville jeg være skeptisk til (??). Man kan vel ikke gjøre annet enn å ta utgangspunkt i en rask pc/hurtig prosessor og hurtige kort, og så måle hva dette eventuelt gir.
Særlig mange penger behøver vel en slik test ikke å koste. En PC og to kort skal man vel ha uansett, og da koster det jo sånn sett ikke noe å bruke den for en slik test.
Det ville være meget interessant (spennende) dersom du kunne legge ut info om eventuelle resultater av målinger, slik at vi kunne få litt oppdaterte kunnskaper mht speed.
I følge teorien så skal graden av kompleksitet i firewall rules kunne påvirke hastigheten i dataflowen. Har aldri merket noen slik endring, men det kan jo være at det eventuelt kan måles ved slike hastigheter.
Hvis du ønsker å gjennomføre en slik hastighetstest gjennom en Linux bridging firewall så kan du eventuelt opprette et nytt spørsmål mht konfigurering. Skulle satt pris på å vite resultatet av en slik måling.
Hvis jeg får tid næste uge sætter jeg en testmaskine op. Jeg har en Dual Xeon 2,8 GHz EMT64 maskine med 2 indbyggede Gigabit netkort, som jeg vil stressteste det på.
Jeg får måske tid til det i næste uge - der tar en pokkers tid faktisk at sætte testen op (der skal skrives software der sender packages til hinanden etc...).
Jeg skal nok poste de erfaringer jeg får her når jeg får det gjort :)
-- Jonas
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
